Se recomienda prestar atención a los 8 ataques que predominan en las empresas para ser más proactivos y evitar filtraciones que representan pérdidas.
Una preocupación constante en las empresas es mejorar las prácticas y estrategias de respuesta a incidentes actualizando sus herramientas de análisis y aplicando inteligencia de análisis en tiempo real. 74 % de las empresas indica que las intrusiones dirigidas son una de las principales preocupaciones en sus negocios, de acuerdo con el informe “Cuando los minutos cuentan” de McAfee.
Al respecto, los 8 ciberataques más comunes en las emresas y a los que se debe prestar atención para evitar cualquier pérdida son:
1.- Servidores internos que establecen comunicaciones con destinos peligrosos conocidos o con un país extranjero con el que la organización no está asociada.
2.- Servidores internos que establecen comunicaciones con otros externos a través de puertos no estándar o discrepancias de protocolos/puertos, como el envío de shells de comandos (SSH) en lugar de tráfico HTTP por el puerto 80, el puerto web predeterminado.
3.- Hosts de acceso público o zona desmilitarizada (DMZ, demilitarizedzone) que establecen comunicaciones con hosts internos. Esto habilita las intromisiones, lo que permite el filtrado de datos y el acceso remoto a los activos. De este modo se neutraliza el valor de la DMZ.
4- Detección tardía de malware. Las alertas que se detectan fuera del horario estándar de la empresa (durante la noche o el fin de semana) pueden ser indicadores de que un host corre riesgo.
5- Los análisis de red realizados a través de hosts internos que establecen comunicaciones con diversos hosts en un período corto, que pueden revelar a un delincuente que se mueve de manera lateral por la red. Las defensas del perímetro de red, como firewall e IPS, no suelen configurarse para supervisar el tráfico de la red interna (aunque pueden configurarse).
6- Varios eventos de alarma de un único host o eventos duplicados en diversos equipos en la misma subred en un período de 24 horas, como fallas de autenticación repetidas.
7- Luego de limpiarse, un sistema se infecta nuevamente con malware en cinco minutos; las infecciones repetidas indican la presencia de un rootkit o un riesgo persistente.
8- Un usuario intenta iniciar sesión en diversos recursos en pocos minutos desde diferentes regiones; es un indicador de que se han robado las credenciales del usuario o el comportamiento del usuario es indebido.