Dado que las infracciones ocupan los titulares casi semanalmente, los desafíos de ciberseguridad que enfrentamos se están volviendo visibles no solo para las grandes empresas, que han desarrollado capacidades de seguridad a lo largo de los años, sino también para las pequeñas y medianas empresas y el público en general. Si bien esto está creando una mayor conciencia entre las empresas más pequeñas sobre la necesidad de mejorar su postura de seguridad, las PYMES a menudo se enfrentan a un vacío en el mercado, incapaces de encontrar herramientas de seguridad que les sean fáciles de usar y que puedan pagar.
Cuando consideramos las necesidades de las PYMES, debemos centrarnos tanto en el desarrollo de inteligencia sobre amenazas, que es necesaria para comprender e identificar las amenazas a las que nos enfrentamos, como como las herramientas utilizadas para brindar protección. NTTSH ha construido un pedigrí de más de 20 años de experiencia en la investigación y curación de inteligencia sobre amenazas, así como en el desarrollo de capacidades y productos que aprovechan su inteligencia sobre amenazas para proteger a los clientes. Después de muchos años de centrarse en empresas más grandes, NTTSH está tomando medidas para democratizar la ciberseguridad y brindar a las empresas más pequeñas la protección que necesitan.
Centro de inteligencia de amenazas globales
Todos los esfuerzos de NTTSH están respaldados por las capacidades de su Centro Global de Inteligencia de Amenazas (GTIC). Los esfuerzos del GTIC van más allá de los de una organización de investigación pura al tomar la investigación de amenazas y combinarla con tecnología de detección patentada por NTTSH para producir inteligencia de amenazas aplicada.
La misión del GTIC es proteger a los clientes proporcionando investigación avanzada sobre amenazas e inteligencia de seguridad, lo que permite a NTTSH prevenir, detectar y responder a las amenazas cibernéticas. Para proporcionar un punto de vista verdaderamente único dentro de los productos y servicios de NTTSH, GTIC aprovecha las capacidades de inteligencia patentadas y la posición de NTT como operador de uno de los 5 principales backbones de Internet de nivel 1 del mundo, proporcionando una visibilidad inigualable de la telemetría de Internet para obtener una comprensión y una visión de los diversos actores de amenazas, herramientas de explotación y malware, y las tácticas, técnicas y procedimientos utilizados por los atacantes. Además de curar su propia investigación de inteligencia sobre amenazas, GTIC también mantiene relaciones con otros actores clave en este espacio, incluidos Cyber Threat Alliance, Microsoft, CISA y National Cyber Forensics and Training Alliance (NCFTA).
anual de NTTSH Informe de inteligencia sobre amenazas globales (GTIR) ofrece una ventana al trabajo realizado por GTIC, brindando una sinopsis de los desafíos clave en el panorama de seguridad que enfrentan organizaciones de todos los tamaños, junto con información práctica para ayudar a las organizaciones a adaptarse mejor al panorama de amenazas en evolución. En la actualización del tercer trimestre del GTIR 2023, se puso especial atención en los sectores verticales clave de la industria, brindando información sobre las amenazas que enfrentan.
Enfoque de amenazas por sector
El sector de la salud enfrenta un conjunto único de desafíos, no solo debido al alto valor de la información que poseen los proveedores de atención médica, sino también como resultado del fuerte crecimiento en la adopción de tecnología en la atención médica en un contexto en el que muchos proveedores, especialmente los más pequeños, Carecen de conciencia sobre la ciberseguridad y tampoco tienen los recursos para implementar y mantener los tipos de controles que disfrutan las grandes empresas. El ransomware sigue resultando especialmente problemático. Las infracciones de ransomware en el sector sanitario están demostrando estar especialmente concentradas en unas pocas geografías: EE. UU., Australia y el Reino Unido representan cerca del 80 % de estas infracciones.
 |
| Figura 1: Ubicaciones de las víctimas de ransomware en el sector sanitario. |
Una tendencia geográfica similar es visible en el sector de las telecomunicaciones, donde EE. UU., Reino Unido y Australia representan aproximadamente el 52 % de los ataques de ransomware, mientras que en la educación, EE. UU., Reino Unido y Canadá representan aproximadamente el 83 %.
En todos los sectores de interés, Lockbit 3.0 sigue siendo el actor de amenazas de ransomware más prolífico. Sin embargo, algunos actores del ransomware se están centrando en sectores específicos, como la banda de ransomware Bl00dy, que apunta específicamente a la educación.
 |
| Figura 2: Principales actores del ransomware en el sector de las telecomunicaciones |
Desafíos de seguridad de SaaS
Un área reciente de atención para GTIC ha sido la forma en que el acelerando rápidamente la adopción de SaaS está presentando su propio conjunto de desafíos. SaaS se está convirtiendo rápidamente en una parte integral de las operaciones diarias de las pequeñas y grandes empresas, y se espera que el crecimiento anual continúe a una tasa cercana al 20 % hasta 2027. En este contexto, es importante señalar que 99 Se espera que el % de las violaciones de seguridad en la nube sean culpa del cliente, según Gartner.
El modelo de responsabilidad compartida La demanda de servicios en la nube es algo con lo que las grandes empresas ya están familiarizadas desde hace algún tiempo. Sin embargo, las organizaciones más pequeñas todavía están asumiendo este modelo. Con respecto a SaaS, esto significa que, si bien el proveedor de la nube es responsable de la aplicación, las PYMES todavía se están adaptando al hecho de que conservan la responsabilidad de sus datos y, lo que es más importante, administran sus cuentas e identidades. Como resultado, los actores de amenazas se están centrando en formas de comprometer las identidades, especialmente utilizando técnicas como el relleno de credenciales y el phishing.
Enfrentando los desafíos de la TI híbrida
Si bien anteriormente las PYMES podían confiar en software antivirus y firewalls para proteger los activos tecnológicos en sus instalaciones, la mayoría ahora se ha trasladado al mundo de la TI híbrida a medida que dependen cada vez más de los servicios prestados en la nube. Si bien los controles de seguridad proporcionados por la mayoría de los servicios en la nube son buenos, las PYMES enfrentan una variedad de desafíos al utilizar la funcionalidad de seguridad que tienen a su disposición.
A medida que se expande la superficie de ataque de empresas aún más pequeñas, crece el número de fuentes de alertas de seguridad. Ese no es el único desafío: los actores de amenazas a menudo no limitarán sus actividades a una parte de su patrimonio tecnológico. Pueden comenzar en un área, por ejemplo, comprometiendo uno o más puntos finales (como computadoras portátiles) y luego usar la información que recopilan (como credenciales) para moverse lateralmente, por ejemplo, para comprometer una aplicación SaaS. Si bien las grandes empresas han pasado los últimos 10 años o más creando equipos de SecOps dedicados y complejas cadenas de herramientas de seguridad, las PYMES carecen de los recursos para este tipo de inversión.
democratizando las operaciones de seguridad con XDR
Lo que las PYMES necesitan es la capacidad de reunir alertas de toda su infraestructura y aplicaciones de TI en una sola herramienta, que pueda analizar toda la telemetría de una organización, aplicar inteligencia sobre amenazas y luego proporcionar una interfaz simple que actúe como un panel único para gestionar alertas, realizar investigaciones y responder a amenazas. Aquí es donde XDR proporciona una solución que combina los componentes clave de una cadena de herramientas SecOps tradicional en una única aplicación alojada en la nube, que puede entregarse de forma asequible. Esta es la segunda área clave en la que NTTSH ha centrado su atención en las PYMES, centrando el desarrollo de su producto Samurai XDR en las necesidades y presupuestos de las PYMES, sin dejar de ofrecer la funcionalidad a la que las grandes empresas se han acostumbrado. Si bien la investigación de GTIC proporciona la inteligencia necesaria para comprender y detectar las amenazas que enfrentan las organizaciones modernas, Samurai XDR hace que el trabajo de GTIC sea accesible y procesable incluso para organizaciones que carecen de recursos SecOps dedicados. Es fundamental recordar que si bien la inteligencia sobre amenazas es esencial para poder detectar amenazas, toda organización necesita herramientas para poder aplicarla.
Un breve viaje por Samurai XDR
Desde el principio, Samurai XDR está diseñado para ser fácil de usar y, lo más importante, para que sea accesible para todo el personal de TI, no sólo para los analistas de seguridad. El punto de partida de todos los flujos de trabajo en Samurai XDR es el panel de alertas. Aquí es donde el sistema presenta alertas de seguridad que han sido priorizadas según la gravedad y la confianza.
 |
| Figura 3: Panel de alertas de Samurai XDR |
El panel de alertas reúne alertas de todas las tecnologías utilizadas por la organización en una única vista priorizada, con un enfoque en proporcionar una interfaz intuitiva que pueda ser utilizada por la mayoría del personal de TI, no solo por analistas de seguridad especializados.
Una vez que el usuario ha decidido que una alerta justifica una mayor investigación, la vista Investigaciones proporciona una interfaz igualmente sencilla e intuitiva para gestionar el ciclo de vida de una investigación de un posible incidente de seguridad.
Una vez que se procesan los eventos y las alertas, se almacenan en el lago de datos de Samurai XDR. El lago de datos brinda a los usuarios la capacidad de consultar y analizar todos los eventos ingeridos en Samurai XDR, remontándose a un año completo. Esto hace posible interrogar los datos históricos de un año completo para fines como la búsqueda de amenazas, lo que permite a los usuarios de Samurai XDR realizar análisis detallados de eventos históricos en busca de signos de amenazas que puedan haber estado presentes durante períodos de tiempo más largos. La consulta de eventos en el lago de datos es posible gracias a la función de consulta avanzada de Samurai XDR, que permite a los usuarios buscar en el lago de datos tanto gráficamente como utilizando el lenguaje de consulta Kusto (KQL) de Microsoft.
Integraciones
Las integraciones proporcionan el mecanismo para incorporar telemetría (como registros) de su infraestructura y aplicaciones de TI en Samurai XDR. NTTSH se ha centrado en reunir la combinación adecuada de capacidades para incorporar telemetría tanto desde la infraestructura local como desde los servicios en la nube, reflejando el tipo de entorno de TI híbrido que se ha vuelto típico incluso para la mayoría de las PYMES en la actualidad. Algunos ejemplos de integraciones disponibles actualmente incluyen:
- Nube: Azure Management Plane y Microsoft 365 (próximamente), Google Workspace (próximamente)
- Detección y respuesta de endpoints: Microsoft Defender para endpoints, VMWare Carbon Black y Crowdstrike Falcon Insight
- Firewalls de próxima generación: Cisco Secure Firewall (ASA y Firepower Threat Defense), Fortinet Fortigate y Palo Alto Networks NGFW.
Durante los próximos meses, NTTSH estará ocupado agregando más integraciones, incluidas, entre otras, Meraki, Bitdefender, Sophos, Zoom, MalwareBytes, OneLogin, OKTA, Zscaler, AWS y muchas más.
Haciéndolo fácil
Un área clave de enfoque para NTTSH en el desarrollo de Samurai XDR ha sido hacer que sea fácil de usar y asequible. Por ejemplo, la configuración de integraciones se admite mediante flujos de trabajo simples de «apuntar y hacer clic». Para la infraestructura que proporciona registros a través de syslog, todo lo que se necesita es apuntar la fuente del registro al recopilador seguro de syslog de Samurai XDR, y Samurai XDR hará el trabajo de detectar el tipo de dispositivo que envía registros. Naturalmente, ocurre lo mismo con las integraciones en la nube. Samurai XDR mantiene los pasos al mínimo y guía al usuario a través de pasos interactivos y acceso a artículos de la base de conocimientos.
Samurai XDR también sigue un modelo de precios simple, basado únicamente en la cantidad de puntos finales que tiene el cliente, lo que elimina la necesidad de intentar estimar los volúmenes de datos de telemetría que se incorporarán a la plataforma. El precio estándar para 50 puntos finales o más es de sólo $3,33 por punto final al mes, y para los clientes más pequeños, hay un paquete de inicio para hasta 25 puntos finales, cuyo precio es de $750 por un año.
Para que sea más fácil probar Samurai XDR, NTTSH ofrece a todos los nuevos clientes una prueba gratuita de 30 díaslo que permite experimentar toda su funcionalidad sin ningún compromiso, brindando incluso a las PYMES más pequeñas una ruta sin riesgos para desarrollar una capacidad SecOps avanzada.