La mayoría de las empresas tardan meses en descubrir una brecha de seguridad
Un informe de Verizon asegura que el 90% de las brechas de seguridad que se producen en las empresas son resultado de ataques externos.
Cerca del 90% de las brechas de seguridad son resultado de ataques externos, y casi el 60% de las organizaciones los descubren meses e incluso años después de que se hayan producido. Así lo ha asegurado Verizon durante la conferencia de RSA.
Es estudio, titulado Verizon 2011 Investigative Response Caseload Review (PDF) compila las estadísticas de 90 casos de brechas de seguridad estudiados por el equipo de respuesta ante incidentes el año pasado, y proporciona información del informe anual de Verizon con incluye datos de fuentes adicionales.
Una de las conclusiones del informe destaca que el 92% de los incidentes de brechas de seguridad con la consecuente pérdida de datos tienen una causa externa. Esta conclusión se opone a los datos de otras empresas de seguridad, para los que la mayoría de las brechas con el resultado de amenazas internas.
El uso de credenciales robadas es uno de los principales métodos que los atacantes utilizaron para obtener acceso a los datos en 2011.
Algunos grupos de crimen organizado han automatizado sus ataques para escanear puertos específicos y luego intentan acceder con contraseñas comunes o robadas. Este es un problema bastante común entre las pequeñas empresas que externalizan la administración de sus sistemas a terceros que ofrecen soporte remoto. Estas organizaciones, según el informe de Verizon, debería implementar algún tipo de control de acceso, como restringir qué IPs pueden acceder, por ejemplo.
La restricción de las conexiones de salida a los puertos que son necesarios para las comunicaciones de la organización es tan importante como la supervisión del tráfico entrante. Esto se conoce como filtrado de salida y puede ayudar a prevenir brechas de seguridad.
Además, contar con listas blancas de aplicaciones que está permitido ejecutar en los servidores puede impedir a los atacantes instalar y ejecutar malware en los sistemas a los que ya han tenido acceso. Es mucho más fácil permitir que sólo algunas aplicaciones y servicios funcionen y bloquear todo lo demás, que crear una lista de programas maliciosos y estar actualizándola continuamente.