Más del 60% de los hackers pueden exfiltrar datos en menos de cinco horas

Bishop Fox y Sans realizaron una investigación que encontró que más de la mitad de los hackers podrían ejecutar un ataque de extremo a extremo –desde comprometer hasta exfiltrar datos– en menos de un día. Aunque las estadísticas en sí mismas son preocupantes para los equipos de seguridad, es probable que sean el “peor escenario”, ya que se basan en enfoques éticos. Casi la mitad de los encuestados afirmaron que el empleo de medidas no éticas tendría un impacto alto o extremadamente alto en su éxito.

La primera encuesta de Bishop Fox y SANS de 2022 solicitó la opinión de más de 300 hackers éticos para comprender los entresijos de la forma de pensar de los atacantes, las herramientas que utilizan, su velocidad, especialización y objetivos favoritos, entre otros elementos. A diferencia de otras encuestas que adoptan el punto de vista de los defensores y proporcionan modelos más teóricos de las posibles amenazas, ataques y compromisos, este informe invierte el guión para explorar cómo los adversarios ven entornos específicos y proporciona información sobre dónde encuentran el mayor éxito.

“Muchas de las encuestas y whitepapers de SANS se centran en una perspectiva de seguridad defensiva, a menudo solicitando la opinión de las organizaciones que se defienden de los ataques. Esta encuesta ha aportado una perspectiva nueva y bienvenida”, dijo Matt Bromiley, instructor certificado de SANS. “Queríamos conocer el punto de vista de los adversarios sobre si los defensores están detectando con éxito los ataques, y sobre la facilidad o rapidez con la que son capaces de ejecutarlos. Cada historia tiene dos caras. Entender cómo funcionan juntas puede ayudar a construir ciberdefensas más resistentes.”

Para contextualizar los resultados de la nueva encuesta, basta con echar un vistazo al venerable informe de Verizon sobre las filtraciones de datos para comprender la urgencia de parámetros como un ataque de extremo a extremo que tarda menos de un día. Según el informe de Verizon, alrededor del 70% de las violaciones detectadas entran en la categoría de “días o menos” para detectar, y más del 20% en la de “meses o más” para detectar. Aún más preocupante es que Verizon también sitúa el principal “Método de descubrimiento” para más de la mitad de las violaciones como “Divulgación del autor”, esencialmente notas de ransomware, o publicaciones que ofrecen pruebas y/o datos para su venta en foros criminales.

La investigación de SANS refuerza que la mayoría de los equipos de seguridad siguen teniendo grandes dificultades con la detección y la respuesta; casi tres cuartas partes indicaron que las organizaciones tienen pocas o algunas capacidades de detección y respuesta para detener eficazmente un ataque. Mientras tanto, los hackers pueden actuar con rapidez y decisión, incluso con menos experiencia. De hecho, la mayor parte del grupo encuestado tiene entre 1 y 6 años de experiencia en hacking ético, y sólo el 16% tiene más de 10 años. En cuanto a las etapas específicas de los ataques y las tasas de éxito, los datos siguieron en gran medida una tendencia de cinco horas o menos. Los resultados específicos incluyen:

• Casi el 40% indicó que puede irrumpir en un entorno más a menudo que no, si no es que siempre.
• Cuando logran irrumpir en un entorno, casi el 60% afirma que puede hacerlo en 5 horas o menos.
• Más de un tercio de los encuestados puede escalar o moverse lateralmente en 3-5 horas en el ambiente tecnológico de una organización, y una quinta parte lo hace en 2 horas o menos.
• Casi dos tercios de los encuestados necesitan 5 horas o menos para recopilar y potencialmente exfiltrar datos una vez que han obtenido el acceso, y más del 40% necesita 2 horas o menos.

“Esperamos que este informe ayude a los equipos de seguridad a tomar mejores decisiones ofensivas y defensivas explorando los procesos de pensamiento y el comportamiento real de los atacantes, y viendo lo que funciona y lo que no funciona en situaciones del mundo real”, dijo Tom Eston, vicepresidente asociado de Consultoría de Bishop Fox. Con estos conocimientos, podemos entender mejor el “costo de hacer negocios” para los atacantes, así como la velocidad con la que ejecutan. Conocer cómo operan los adversarios, y sus preferencias en términos de tácticas y técnicas, puede ayudar a las organizaciones a evaluar sus inversiones, y entender mejor dónde necesitan redoblar los controles, las políticas, las pruebas y las defensas.”