A medida que año tras año aumenta notablemente el rol de la ciberseguridad en las grandes empresas aumenta, el rol de los Centros de Operaciones de Seguridad (SOC) va adquiriendo cada vez más importancia. Este año, Kaspersky Security Bulletin termina con predicciones a medida para los SOC, desde los puntos de vista externo e interno. La primera parte de este informe está dedicada a las amenazas más relevantes a las que es probable que se enfrente cualquier SOC en 2023. En base a nuestra amplia experiencia en Detección y Respuesta Gestionadas (MDR, Managed Detection and Response) y a la dinámica que hemos observado a lo largo de los años, ofrecemos una visión de las tendencias que conformarán el panorama de amenazas para las empresas este año. La segunda parte está dedicada a las tendencias de los SOC desde el punto de vista interno. Aquí analizamos los retos a los que se enfrentarán los directivos en materia de personal, presupuestos y funciones. Estos desafíos están entrelazados con las amenazas que se ciernen sobre las empresas en 2023, ya que sólo un equipo bien organizado puede proteger a las empresas contra la rápida evolución de los métodos de ataque y el malware.
Parte 1. A qué amenazas se enfrentarán los Centros de Operaciones de Seguridad en 2023
El ransomware destruirá cada vez más datos en lugar de cifrarlos
El ciberespacio refleja la agenda mundial, y las turbulencias geopolíticas influyen en la superficie de ataque. Por eso, en 2023 no hay que descartar que continúen los ecos de la ciberguerra. Los escenarios de ataque habituales en este caso son: ataques a empleados (ingeniería social), ataques a infraestructuras informáticas (DDoS), así como ataques a infraestructuras críticas. Otra tendencia interesante que comenzó en 2022 y continuará en 2023 es que el ransomware ahora no solo cifra los datos de las empresas, sino que, en ciertos casos, los destruye. Esta amenaza se cierne sobre las organizaciones que son blanco de ataques por motivos políticos, cuyo número se prevé que aumente el año que viene.
Las aplicaciones abiertas al público seguirán siendo explotadas para lograr acceso inicial
En 2021 y 2022 observamos un crecimiento importante de las penetraciones iniciales, en gran parte debido a las vulnerabilidades críticas en Exchange, logradas mediante el perímetro de red: en 2022 fueron el doble que en 2021. La penetración desde el perímetro requiere menos preparación que el phishing y siguen expuestas vulnerabilidades bastante antiguas: prevemos que esta tendencia continuará en 2023.
La cuota de exploits en aplicaciones públicas, dinámica en 2021-2022, estadísticas mundiales (descargar)
Más ataques a la cadena de suministro a través de las telecomunicaciones y las TI
De año en año en Kasperksy SOC observamos el interés de los atacantes por las empresas de TI y de telecomunicaciones. Según el informe Kaspersky Managed Detection and Response (MDR), en 2021 la industria de las telecomunicaciones vio por primera vez que el número esperado de incidentes de alta gravedad prevaleció sobre los incidentes de gravedad media y baja, un promedio de 79 incidentes por cada 10 000 sistemas monitorizados frente a 42 incidentes de gravedad media y 28 incidentes de gravedad baja (vea el informe Kaspersky MDR 2021 para más detalles). En 2022 seguimos observando el interés de los atacantes por las empresas de telecomunicaciones, aunque la proporción de incidentes de gravedad alta es menor (aproximadamente 12 por cada 10 000 computadoras frente a 60 de gravedad media y 22 de gravedad baja). En nuestra práctica, nos hemos topado con casos en los que los intrusos atacaban a empresas de telecomunicaciones para luego intentar atacar a sus clientes. En 2023 pronosticamos un aumento del número de ataques a la cadena de suministro a través de proveedores de telecomunicaciones que suelen ofrecer servicios administrados adicionales.
Número de incidentes en empresas de telecomunicaciones por cada 10 000 sistemas en 2021 y 2022, estadísticas mundiales (descargar)
Ataques dirigidos más recurrentes por parte de agentes patrocinados por gobiernos
Kaspersky ofrece el servicio MDR desde 2016. A lo largo de estos años hemos observado ataques dirigidos (TA por sus siglas en ingles) en diversos sectores, desde el automovilístico hasta el gubernamental. Muchos de ellos están amenazados por ataques dirigidos, sobre todo si se trata de una gran empresa o de una organización sin fines de lucro. Cabe destacar que, en los casos en los que no había indicios de ataques dirigidos en curso, pudimos encontrar artefactos de ataques anteriores.
Esto significa que existe una amenaza inminente de ataques recurrentes en 2023: si una empresa fue comprometida una vez, y el ataque remediado, es muy probable que el atacante intente hackear esta organización de nuevo. Tras un ataque infructuoso, lo más probable es que esta organización vuelva a ser atacada, ya que es un objetivo a largo plazo de los actores de amenazas. Esto se hace evidente en las organizaciones gubernamentales que suelen ser atacadas por agentes patrocinados por otros gobiernos.
Número de incidentes en organizaciones gubernamentales por cada 10 000 sistemas en 2021 y 2022, estadísticas mundiales (descargar)
Tradicionalmente, los conflictos internacionales van acompañados de guerras de información en las que los medios de comunicación masivos desempeñan un papel protagonista. En años anteriores observamos un crecimiento constante de los ataques a este sector, y las estadísticas disponibles de 2022 confirman esta tendencia, ya que los medios de comunicación se han convertido en uno de los principales objetivos de los atacantes, junto con las organizaciones gubernamentales.
Número de incidentes en empresas de medios de comunicación por cada 10 000 sistemas en 2021 y 2022, estadísticas mundiales (descargar)
En 2023, lo más probable es que estos dos sectores sigan figurando entre los más atacados, aunque es posible que aumente la proporción de incidentes de alta gravedad.
Para protegerse eficazmente contra los ataques dirigidos, es necesario implementar la caza activa de amenazas en combinación con servicios administrados de detección y respuesta.
Parte 2. A qué retos internos se enfrentarán los SOC: procesos y eficiencia
Los SOC se verán obligados a imponer requisitos más estrictos, al tiempo que sufrirán escasez de personal
En cuanto a los retos internos, primero hay que considerar las cuestiones de recursos humanos. El futuro del desarrollo de los SOC pasa por un crecimiento intensivo, no extensivo, lo que significa que el valor que cada miembro del equipo (incluso el no cualificado) aporta a los SOC será cada vez mayor. Desarrollar las habilidades de los equipos de los SOC es la forma probada de contrarrestar la creciente cantidad de amenazas a las que se enfrentará cada SOC en 2023. Esto significa que las formaciones relacionadas con IR y cualquier forma de ejercicios SOC, como TTX, purple teaming y emulaciones de ataques de adversario, deben ser una parte importante de la estrategia SOC 2023. Esto da a los SOC un objetivo, que el equipo, la arquitectura y las operaciones de los SOC deben mejorarse para ofrecer una mayor eficacia. En el caso de los SOC maduros, es sólo cuestión de tiempo; en otros, suele ser un problema la falta de experiencia y visión sobre cómo desarrollar un SOC. Por lo general, el segundo caso puede resolverse haciendo revisar el SOC por expertos externos, que, gracias a que no están involucrados, pueden identificar las brechas para evitar el sesgo de enfoque, que impide al equipo interno ver el panorama completo desde fuera.
Otra tendencia está relacionada con la falta de personal cualificado y experimentado, que seguirá presente en 2023: necesidad de procesos bien definidos para la unidad SOC, por lo que prevemos un papel cada vez más importante de las actividades de desarrollo de procesos SOC y la demanda de servicios relacionados.
Aumento de los presupuestos junto con la eficiencia como piedra angular de los procesos SOC
El creciente panorama de amenazas hace que también aumenten los presupuestos de ciberseguridad y de los SOC. Esta tendencia hará que se preste más atención a este gasto presupuestario y que surjan preguntas como “¿Por qué? ¿Cuál fue el efecto? ¿Qué valor aporta?” aparecerá más a menudo en la agenda del responsable de un SOC.
Esta circunstancia, unida a un enfoque maduro, debería llevar a los SOC a implantar la “gestión de la eficiencia del SOC”. Como parte de esta práctica, las empresas evaluarán el costo de las brechas y lo vincularán con la eficiencia de los SOC en la reducción de dichas pérdidas. Una combinación con el análisis de incidentes evitados que ofrecen los SOC para evaluar el valor que aportan en términos monetarios. Pero antes de implantar este enfoque, los SOC tendrán que desplegar métricas de calidad y su análisis, así como un proceso establecido para su gobernanza.
Creación de un sistema completo de inteligencia y caza de amenazas
El aumento de los ciberataques y las amenazas se transformará en una gran demanda para predecir los ataques y las técnicas de los atacantes. Esta tendencia hace que aumente el valor de la inteligencia sobre amenazas. Por lo que observamos hasta ahora en nuestra práctica diaria, las actividades de inteligencia sobre amenazas de muchos SOC se reducen a la gestión de los flujos IOC. Este enfoque no funciona para hacer frente a los ataques de día cero y APT. Las tendencias actuales ya han cambiado para establecer capacidades de TI a gran escala dentro de las empresas, y en la mayoría de los casos la unidad CTI pertenece a un SOC. Esa tendencia crecerá y madurará en 2023.
Los casos en los que los ataques perpetrados se dejaron desatendidos durante mucho tiempo siguen siendo comunes, y continuarán así en 2023 debido al continuo crecimiento de los ataques dirigidos. Además, el paradigma “Assume Breach” también seguirá con nosotros en 2023, lo que significa que la caza de amenazas tiene muchas posibilidades de convertirse en tendencia.
Así pues, creemos que la caza de amenazas será una parte vital de la estrategia de desarrollo de los SOC. Ahora se cree que está al final de la lista de tecnologías que aportan la capacidad necesaria al equipo de un SOC. En la mayoría de los casos, puede explicarse por una comprensión poco clara de cómo llevar a cabo la caza de amenazas o por un enfoque caótico en la entrega. Pero dado que la caza de amenazas forma parte de las capacidades de detección de los SOC, que se verán puestas a prueba por la evolución de las amenazas, cada vez más empresas se plantearán llevar a cabo la caza de amenazas de forma regular con objetivos claros y una comprensión de cómo alcanzarlos de forma continua.
Estas son nuestras predicciones para los especialistas en SOC para 2023: dentro de un año veremos cuáles de ellas se harán realidad.
A qué retos se enfrentará su SOC en 2023