La duración media entre el inicio de una invasión cibernética y la identificación por un equipo interno durante el año pasado fue de 38 días, a diferencia de 2017, el cual fue de 57.5 días, así lo destacó el Mandiant M-Trends 2019 report.
Este estudio anual reveló estadísticas y percepciones obtenidas a partir de las investigaciones a nivel global realizadas en 2018 por Mandiant, empresa del grupo FireEye, especializada en respuesta a incidentes.
Según el documento, aunque las organizaciones están mejorando y acelerando el descubrimiento de violaciones internamente, en lugar de ser notificadas por una fuente externa, como la aplicación de la Ley, también hay un aumento en los ataques disruptivos, de rescate (como ransomware) u otros tipos de ataques inmediatamente visibles.
El tiempo medio de exposición global antes de cualquier detección –externa o interna– también disminuyó alrededor de un mes, pasando de 101 días en 2017 a 78 días el año pasado. Sólo para fines de comparación, en 2011, los ciberatacantes permanecían, en promedio, 416 días dentro de los sistemas de organizaciones en todo el mundo.
Otro de los hallazgos del estudio es que los invasores se están volviendo cada vez más persistentes. Los datos de FireEye proporcionaron evidencia de que las organizaciones víctimas de un ataque dirigido probablemente serán objeto de los mismos grupos de nuevo. Información global de 2018 apuntó que el 64% de todos los clientes en los que FireEye administró una detección y respuesta a los incidentes y que anteriormente eran atendidos por Mandiant, en los últimos 19 meses fueron objetivo de nuevo del mismo grupo o sufrieron algún tipo de ataque por una motivación similar, por encima del 56% registrado en 2017.
Este estudio también demostró que las víctimas de ataques fueron blancos en específico, por lo que es muy probable que sean agredidas nuevamente. En 2018, los datos globales mostraron que el 64% de todos los clientes administrados por FireEye que anteriormente eran clientes de Mandiant, fueron atacados de nuevo en los últimos 19 meses ya sea por el mismo grupo o uno con intenciones similares; en el 2017 se detectó un 56%.
La actividad de los ciberatacantes afecta a países de todo el mundo. Entre estos ataques, FireEye observó un aumento en los compromisos por medio de ataques de phishing durante el proceso de fusiones y adquisiciones. Los atacantes también tienen como objetivo datos en la nube, incluyendo proveedores de nube, empresas del área de telecomunicación y otros proveedores de servicios, además de ejecutar retargeting a organizaciones que ya han sido víctimas en el pasado.
“En 2018, FireEye observó que las organizaciones respondieron más rápidamente a las violaciones que nunca, pero también observamos a los invasores cada vez más sofisticados, a medida que adopta nuevos métodos”, afirmó Jurgen Kutscher, vicepresidente ejecutivo de Suministro de Servicios de FireEye.