La evolución de los ataques fatiga a los equipos de análisis forense
Estos se enfrentan a cargas de trabajo cada vez mayores, a desafíos de contratación, y a una falta de automatización efectiva.
La evolución del cibercrimen está pesando mucho sobre los equipos de análisis forense digital y respuesta a incidentes (DFIR, de sus siglas inglesas), lo que lleva a un estado de agotamiento significativo y a potenciales riesgos regulatorios, según una encuesta realizada por Magnet Forensics. Los preguntados describieron el panorama actual como un escenario que está yendo más allá del ransomware y que está afectando a sus capacidades laborales.
El 54% dijo que se siente agotado en su trabajo, mientras que el 64% cree que la fatiga que genera la alerta e investigación es alta. El aumento de los análisis y los datos asociados a los ataques es un problema “grande” o “extremo” para las empresas, según casi la mitad de los encuestados. Esto representa un aumento del 50% con respecto al informe de 2022. “Una consecuencia muy real es que lleva demasiado tiempo identificar la causa raíz de los ataques”, reza. “Esto puede generar consecuencias más costosas y prolongadas para las empresas, al mismo tiempo que dificulta aprender de estas incidencias y prepararse para futuras”. Por lo tanto, es más probable que la mayoría de compañías subcontraten a al menos varias investigaciones de DFIR.
No obstante, el estrés y el agotamiento ya afectaban a los profesionales de la ciberseguridad en los últimos años. Los encuestados están de acuerdo en que abordar estos síntomas se ve obstaculizado por la falta de perfiles técnicos en el mercado, así como por las dificultades de incorporación y los pocos recursos de automatización. Una mayor inversión en automatización sería “altamente” valiosa para las funciones de estos equipos, según el 50%.
Sin embargo, aunque los procesos de automatización como SOAR (Orquestación, Automatización y Respuesta) ya están implementados en muchos centros de operaciones de seguridad (SOC), esas soluciones organizan y automatizan los runbooks mediante la telemetría, la aplicación de acciones y el uso de otras herramientas. “Si bien son importantes para la contención y remediación de amenazas, estas actividades son distintas de las realizadas por las soluciones de automatización de análisis forense digital, que ejecutan una canalización de datos”.
Riesgos regulatorios
Estas presiones sobre las cargas de trabajo están abriendo a las empresas a mayores riesgos regulatorios, específicamente las relacionadas con los informes de incidentes. El 67% cree que su función se ha visto afectada por las nuevas reglas, y el 46% no tiene tiempo para comprender las normas debido a sus cargas de trabajo.
“Idealmente, las regulaciones deben ser leídas o interpretadas por profesionales legales que puedan traducirlas en información clara y procesable para los equipos de DFIR. Si no es posible obtener una interpretación oficial, los líderes de estos departamentos deben asegurarse que su gente tenga los recursos que necesitan para asimilar la información, complementando esto con acceso a asesoría legal para los apartados especialmente confusos”.
Los ataques más comunes
La exfiltración de datos y el robo de IP son los incidentes que se encuentran con más frecuencia los encuestados. El compromiso de correo electrónico empresarial (BEC; en inglés) es el siguiente más común, superando al ransomware.
