En el informe Kaspersky MDR Analyst, los expertos de la empresa de ciberseguridad destacan una mejora significativa en los tiempos de respuesta para incidentes de alta gravedad. Dicho informe también revela que el 74% de los incidentes se resuelven con una sola alerta. Sin embargo, los incidentes de media gravedad vieron un aumento en los tiempos de respuesta debido a su mayor frecuencia. Además, el 24% de los incidentes requirieron intervención humana para su resolución, subrayando la complejidad creciente de las amenazas.
Cada año, Kaspersky elabora un informe basado en los resultados del análisis de los incidentes MDR identificados por su equipo SOC. En este informe, los expertos destacan los incidentes que requieren una acción por parte de los clientes, dividiéndolos en tipos de gravedad alta, media y baja. Por incidentes de gravedad alta se entienden los ataques de origen humano o las amenazas de malware que tienen un impacto significativo en los sistemas informáticos del cliente. Los incidentes de gravedad media no tienen indicios de implicación humana directa en el ataque, pero pueden afectar a la infraestructura del cliente sin consecuencias graves, mientras que los de gravedad baja no afectan a los sistemas informáticos del cliente, pero requieren la adopción de una serie de medidas de precaución.
Según el informe Kaspersky MDR Analyst, en 2023 el equipo SOC de Kaspersky necesitó una media de 36,37 minutos para informar sobre incidentes de gravedad alta, un 17% más rápido que en años anteriores. Los incidentes de gravedad media, generalmente causados por malware y los más comunes, experimentaron un aumento en los tiempos de respuesta, pasando de 30 a casi 33 minutos, explicado por el aumento general de este tipo de incidentes.
Por último, las incidencias de menor gravedad, normalmente consecuencia de software potencialmente no deseado, pasaron más tiempo en la cola antes de ser analizadas por el equipo del SOC, lo que se tradujo en un tiempo de espera de algo más de 48 minutos.
En cuanto a la eficacia de la respuesta, aproximadamente el 74% de los incidentes se resolvieron tras una sola alerta[1], lo que indica escenarios de respuesta claros y la finalización efectiva de los ataques.
Alrededor del 24% de los incidentes requirieron atención después de 2-10 alertas, lo que indica casos en los que la resolución automática no fue suficiente y se necesitó la intervención de un especialista humano. Algunos ejemplos son los ataques en curso, como los intentos de explotación tras un compromiso de la red o las campañas de phishing, que a menudo requieren una investigación manual tras múltiples alertas.
Solo en un 2% de los incidentes se produjeron más de 10 alertas. Entre los motivos se incluyen amenazas complejas que requieren una investigación exhaustiva antes de actuar o situaciones en las que el cliente optó únicamente por la supervisión, como en los ciberejercicios.
“Los incidentes de alta gravedad con implicación humana directa deben tratarse con rapidez y decisión para contener los daños y evitar pérdidas financieras y de reputación de la empresa. Por eso siempre intentamos reducir el tiempo de respuesta a este tipo de incidentes críticos. Con la protección multicapa que ofrece nuestro MDR, podemos seguir luchando eficazmente contra los ciberdelincuentes en este panorama de amenazas en continuo cambio", afirmó Sergey Soldatov, jefe del Centro de Operaciones de Seguridad de Kaspersky.
En respuesta a las conclusiones del análisis MDR, Kaspersky recomienda a las organizaciones:
- Realizar un inventario periódico de la pertenencia a grupos privilegiados, para disponer de un procedimiento formal de gestión de privilegios y accesos.
- Aplicar prácticas de caza de amenazas en combinación con la supervisión clásica basada en alertas.
- Realizar una serie de ciberejercicios para comprobar la eficacia de los mecanismos de seguridad utilizados en su empresa.
- · Adoptar un enfoque de seguridad multicapa para protegerse de los incidentes. Esto incluye una protección sólida de los endpoints, seguridad de la red e inteligencia sobre amenazas trabajando con expertos en ciberseguridad.
- Si una empresa carece de personal dedicado a la ciberseguridad, se puede utilizar los servicios de seguridad gestionados como Kaspersky Managed Detection and Response (MDR), Kaspersky Compromise Assessment y Kaspersky Incident Response para obtener experiencia adicional y cubrir todo el ciclo de gestión de incidentes, desde la identificación de amenazas hasta la protección y corrección continuas.
Más información sobre el informe analista de Kaspersky MDR 2023 en este link.
