Verizon 2023 DBIR: novedades de este año y principales conclusiones para las pymes

Contrariamente a la percepción común, las pequeñas y medianas empresas (PYMES) suelen ser el objetivo de los ataques cibernéticos. Eso es comprensible, ya que en los EE. UU . y el Reino Unido comprenden más del 99 % de las empresas, la mayoría de los empleos del sector privado y alrededor de la mitad de las ganancias. Pero si usted es un líder empresarial o de TI en una organización más pequeña, cómo hacer más con menos es un desafío crítico.

Con menos recursos para dedicar a la mitigación del riesgo cibernético, el enfoque debe estar en priorizar efectivamente hacia dónde se dirigen. Como encontró el reciente Informe de Sentimiento de Seguridad Digital para PYMES, el 69% de las PYMES reportaron una brecha o una fuerte indicación de una en los últimos 12 meses, destacando la necesidad de una acción urgente.

Para esto, necesita datos duros. ¿Dónde centran sus esfuerzos los atacantes? ¿Quiénes son? ¿Y qué tan exitosos están siendo? Si bien existen varias fuentes de dicha información, uno de los análisis más rigurosos del panorama de amenazas es el Informe anual de investigaciones de violación de datos de Verizon (DBIR). Su última edición es una mina de oro de información que las PYMES pueden utilizar para mejorar la estrategia de seguridad.

‍

‍

¿Dónde están las principales amenazas de ciberseguridad para las empresas?

El DBIR de 2023 se basa en el análisis de 16 312 incidentes, de los cuales alrededor de un tercio, o 5199, se confirmaron como filtraciones de datos. Uno de los beneficios de esta serie de larga duración, ahora en su decimosexto ^año , es que los lectores también pueden evaluar las tendencias actuales frente a patrones históricos. Entonces, ¿qué tiene de interés esta edición?

Aquí hay algunos puntos clave para las PYMES:

• Las superficies de ataque convergen:A pesar de sus muchas diferencias, las PYMES y las organizaciones más grandes en realidad se están volviendo más parecidas, según Verizon. Utilizan cada vez más la misma infraestructura y servicios, como el software basado en la nube, lo que significa que sus superficies de ataque tienen más en común que nunca. De hecho, en términos de factores como los tipos de actores de amenazas, las motivaciones y los patrones de ataque, los autores del informe admiten que "hay tan poca diferencia según el tamaño de la organización que nos fue difícil hacer distinciones". A modo de ejemplo, la intrusión en el sistema, la ingeniería social y los ataques a aplicaciones web básicas representan el 92 % de las infracciones de las pymes en la actualidad, en comparación con una proporción ligeramente inferior (85 %) en las grandes empresas que cuentan con más de 1000 empleados. Además, el 94% de los actores de amenazas son externos, en comparación con el 89% en las grandes organizaciones,
• Los atacantes externos son la mayor amenaza: los actores de amenazas de terceros representan el 83 % de las infracciones hoy en día en general, aumentando al 94 % en los ataques a SMB. Eso se compara con el 19 % de las infracciones generales en las que los actores internos fueron responsables, cayendo a solo el 7 % para las PYMES. Curiosamente, el 2% de las infracciones de SMB podrían atribuirse a "múltiples" fuentes, lo que, según Verizon, significa una combinación de socios internos, externos y que trabajan en connivencia. Sin embargo, el riesgo interno general es mínimo para las empresas más pequeñas.
• La motivación financiera es la número uno: la gran mayoría (95 %) de las infracciones tienen una motivación financiera, aumentando al 98 % para los ataques a SMB. Es una clara indicación de que el crimen organizado, a diferencia de los estados nacionales, es la principal amenaza para las pequeñas empresas. De hecho, el espionaje representa solo el 1 % de las infracciones de las pymes.
• Los humanos son el eslabón más débil: el principal método de ingreso a las redes de las víctimas son las credenciales robadas (49 %), seguido del phishing (12 %) y la explotación de vulnerabilidades (5 %). Esto indica que los empleados son un eslabón persistentemente débil en la cadena de seguridad. De hecho, los humanos juegan un papel en el 74% de las infracciones. Esto podría deberse al uso de credenciales robadas y phishing, u otros métodos como la configuración incorrecta o la entrega incorrecta de datos confidenciales. Esto también concuerda con el Informe de sentimiento de seguridad digital SMB de 2022 , que encuentra que la falta de conciencia cibernética de los empleados (84 %) es el principal factor de riesgo.
• El compromiso de correo electrónico comercial (BEC) se duplica: el volumen de casos de "pretexto" (que, según Verizon, es similar a BEC) se duplicó en todos los incidentes desde el DBIR anterior. Ha hecho que el pretexto sea una amenaza mayor que el phishing, aunque este último sigue siendo más frecuente en las violaciones de datos reales. En BEC, se engaña a la víctima para que transfiera grandes sumas a una cuenta bancaria controlada por el atacante. Este tipo de fraude es una muestra más de la importancia del factor humano en los ataques. Aunque aquí no hay estadísticas específicas para SMB, la cantidad promedio robada a través de BEC aumentó a $ 50,000.
• El ransomware sigue siendo una de las principales amenazas a medida que aumentan los costos: el ransomware ahora es una característica de una cuarta parte (24 %) de las infracciones, gracias a las tácticas de doble extorsión que significan que los datos se roban antes de cifrarlos. Esa participación no ha cambiado mucho desde el año pasado, pero Verizon advirtió que la amenaza “es omnipresente entre organizaciones de todos los tamaños y en todas las industrias”. Los costos medios se duplicaron con creces anualmente a $ 26,000, aunque es probable que sea una subestimación.
• La intrusión en el sistema encabeza los tipos de ataque: los tres principales patrones de ataque para las infracciones de SMB en orden son la intrusión en el sistema, la ingeniería social y los ataques básicos de aplicaciones web. Juntos representan el 92% de las infracciones. La intrusión en el sistema se refiere a “ataques complejos que aprovechan el malware y/o la piratería para lograr sus objetivos”, incluido el ransomware.

Uso del DBIR para mejorar la ciberseguridad

La pregunta es cómo puede convertir esta percepción en acción. Aquí hay algunos controles de mejores prácticas que pueden ayudar a mitigar los ataques de intrusión en el sistema:

• Programas de capacitación y concientización sobre seguridad diseñados para mitigar diversas amenazas, incluida la amenaza interna.
• Procesos de recuperación de datos que pueden ayudar después de los ataques de ransomware.
• Gestión de control de acceso, incluidos procesos y herramientas para crear, asignar, gestionar y revocar credenciales y privilegios de acceso. Esto podría incluir la autenticación multifactor (MFA).
• Gestión de respuesta a incidentes para detectar y responder rápidamente a los ataques.
• Seguridad del software de aplicaciones para prevenir, detectar y remediar fallas de software.
• Pruebas de penetración diseñadas para mejorar la resiliencia.
• Gestión de vulnerabilidades para ayudar a mitigar otros tipos de amenazas, como los ataques a aplicaciones web.
• Detección y respuesta de punto final (EDR), detección y respuesta extendida (XDR) o detección y respuesta administrada (MDR), que el 32% de las pymes usan y otro 33% planea usar en los próximos 12 meses.

Esto no es de ninguna manera una lista completa. Pero es un comienzo. Y a menudo eso es la mitad de la batalla.