Detección temprana y respuesta a amenazas: cómo los softwares pueden detectar filtraciones de datos en tiempo real
Por: Francisco Lárez, vicepresidente de Progress para América Latina y el Caribe.
Según un estudio de IBM, las organizaciones, tardan en promedio más de 190 días en identificar una filtración de datos y 60 días o más adicionales para remediar el problema. Las implicaciones financieras de un evento de este tipo, incluidas la mitigación y la remediación, puede significar una importante suma de dinero y representar un riesgo grave para la continuidad del negocio.
En el caso de Latinoamérica, para las empresas el costo promedio de una filtración de datos en 2024 alcanzó los US $2,76 millones. A su vez, un informe de Kaspersky revela que el 42% de las compañías de la región experimentó filtraciones de datos confidenciales en los últimos dos años.
Sin embargo, las organizaciones pueden manejar eficazmente estos escenarios con la ayuda de soluciones de seguridad sólidas y procesos bien definidos. Así, una empresa tiene la oportunidad de minimizar el daño financiero y reputacional al reducir los tiempos de detección y respuesta.
El siguiente caso de éxito destaca cómo Progress Flowmon, una potente solución de monitoreo de red, jugó un papel fundamental para detectar una infracción experimentada por uno de nuestros clientes gubernamentales y brindar una solución de manera efectiva.
Un servidor en DMZ (es decir, que se encuentra en una zona desmilitarizada) que ejecutaba una aplicación específica quedó comprometido y el hacker obtuvo el control del dispositivo. Desde la posición inicial, el atacante intentó navegar sobre la red, moverse lateralmente y comprometer tantos dispositivos como fuera posible, dejando una huella en la red.
Esto es el “minuto a minuto” de lo que pasó.
Hora 0 – Escaneo del protocolo de resolución de direcciones
El atacante primero realizó una enumeración de dispositivos que estaban encendidos y responden a solicitudes ARP (Address Resolution Protocol) en la misma subred de red /24. Flowmon identificó esta actividad con escaneo ARP en 252 dispositivos. Ningún dispositivo respondió.
Hora 0+3 minutos – Escaneo del protocolo de mensajes de control de Internet
Luego, el atacante enumeró los dispositivos en la red utilizando el protocolo ICMP (Internet Control Message Protocol). Se contactó con más de 100.000 dispositivos, lo que generó bastante ruido en la red. Flowmon detectó esta actividad como inundación de ping y escaneo ICMP, proporcionando evidencia de más de cuatro millones de solicitudes de este tipo ocultas en el tráfico de la red.
Tiempo 0+31 minutos – Ataque al Secure Shell (SSH)
Se inició un ataque de pulverización de contraseñas contra servicios SSH en múltiples servidores accesibles desde los hosts inicialmente comprometidos. Flowmon detectó un ataque fallido contra el servicio SSH que se ejecuta en 21 servidores distintos, proporcionando evidencia de casi 3000 intentos de inicio de sesión.
Tiempo 0+45 minutos: análisis de eventos impulsado por IA
El motor de análisis de eventos impulsado por IA de Flowmon conectó los puntos debido a todas las actividades sospechosas realizadas por un solo dispositivo. Esto, a su vez, elevó la puntuación de amenaza del dispositivo comprometido a 49 (de 100 como máximo), convirtiéndolo en la preocupación número uno en la red y marcándolo como una prioridad para la intervención humana.
Tiempo <1 hora – Corrección de eventos
El centro de operaciones de seguridad desconectó inmediatamente el dispositivo comprometido de la red y recopiló las pruebas necesarias para que la autoridad nacional de ciberseguridad reportara el incidente. No hubo más impacto en el entorno de la organización, ya que pudieron detener el ataque en su etapa inicial.
Este caso demuestra cómo con el software adecuado se puede detectar con éxito un ataque en tiempo real y proporcionar información valiosa a los administradores de red para neutralizar la amenaza. El motor impulsado por IA de Flowmon identificó con precisión el dispositivo comprometido dentro de una red compleja y le facilitó a la organización tomar medidas correctivas, generando un ahorro de dinero y recursos.
Existe la problemática, pero también ya están disponibles herramientas para enfrentarlas. Ahora es momento de que las empresas empiecen a implementarlas para seguir desempeñándose exitosamente y sin sobresaltos.
Demo guiada de Flowmon
