La evolución del delito cibernético pesa en gran medida los equipos de investigación digital y la respuesta a los incidentes (DFIR), lo que resulta en un agotamiento profesional significativo y un riesgo regulatorio potencial. Esto es lo que indica La encuesta del estado de la empresa DFIR 2023 Hecho por Forensics Magnet. La compañía cuestionó a 492 profesionales de DFIR en América del Norte y Europa, Oriente Medio y África que trabajan en empresas en varios sectores (tecnología, fabricación, sector público, telecomunicaciones, atención médica ...). Los encuestados han descrito que el panorama del delito cibernético actual evoluciona más allá de la ransómica y afectan su capacidad para investigar amenazas e incidentes, dice Magnet Forensics.

Índice
  1. Equipos estresados ​​y agotados
  2. Empresas ante los riesgos regulatorios
  3. Exfiltración de datos y compromiso de correo electrónico, los incidentes más comunes

Equipos estresados ​​y agotados

Más de la mitad (54 %) de los profesionales de DFIR cuestionados se han sentido agotados en su trabajo. Para el 64 %, el exceso de alerta contribuye a esta fatiga. El aumento en las encuestas y los datos asociados con él es un problema "importante" o "extremo" para las empresas, según el 45 % de los cuestionados, mientras que el 42 % citó la evolución de las técnicas de ataque cibernético como un problema "importante" o "extremo" . Esto representa un aumento del 50 % en comparación con el informe DFIR 2022. "Una consecuencia muy real es que lleva demasiado tiempo identificar la causa profunda de los ataques", dijo el informe de 2023. "Esto puede causar consecuencias más costosas y más tiempo para las empresas, al tiempo que hace que las lecciones aprendan de estos ataques más difíciles y la preparación para futuros incidentes". La mayoría de las estructuras representadas en la encuesta tienen más probabilidades de externalizar estas tareas.

El estrés y el agotamiento profesional tienen un impacto en los equipos de seguridad cibernética durante un cierto número de años, la investigación de 2022 destacando el efecto de la sobrecarga de información y el exenso en el rendimiento del SOC. Los encuestados de Magnet Forensics generalmente han acordado que las dificultades de reclutamiento, pero también los problemas de integración y la falta de automatización constituyen factores adicionales para superar general. Una mayor inversión en automatización se considera "muy" o "extremadamente" preciosa para una variedad de funciones DFIR, incluida la adquisición remota de los puntos finales objetivo y el procesamiento de la evidencia digital, dijo la mitad de los encuestados.

Empresas ante los riesgos regulatorios

La orquestación, la automatización y la respuesta a los incidentes de seguridad de TI (SOAR) ya están en su lugar en muchas notas de SOCS el informe. "Aunque son importantes para el confinamiento y la corrección de las amenazas, estas actividades relacionadas con los runbooks son distintas de las realizadas por las soluciones de automatización de Forensic, que realizan una tubería de procesamiento de datos al orquestar, automatizar, ejecutar y supervisar flujos de trabajo forenses", "HE" agregado. El hecho es que estas herramientas deben ser más adecuadas para ser compatibles con la orquestación de los servicios de alerta y las respuestas al incidente ya establecido.

Las presiones para la carga de trabajo del DFIR exponen a las empresas al aumento de los riesgos regulatorios, en particular las reglas relacionadas con el informe de incidentes. Dos tercios (67 %) de los encuestados dijeron que su papel había sido afectado por informes recientes, pero casi la mitad (46 %) dijo que no tenían tiempo para comprender las regulaciones en términos de ciberseguridad debido a su carga de trabajo. "Idealmente, las regulaciones deben ser leídas e interpretadas por profesionales de la ley que puedan traducirlos en información clara y utilizable para los profesionales de DFIR", decía el informe. "Si no es posible obtener una interpretación legal oficial, los gerentes de DFIR deben asegurarse de que los equipos tengan los recursos que necesitan para leer y asimilar información, además del acceso limitado a un asesor legal para requisitos particularmente confusos", agregó.

Exfiltración de datos y compromiso de correo electrónico, los incidentes más comunes

La exfiltración de datos/vuelo de IP es el incidente de seguridad más frecuentemente encontrado por los cuestionados, el 35 % de los encuestados que indican que su estructura cumple con este tipo de incidente de seguridad "suficiente" o "muy" con frecuencia. El compromiso de los correos electrónicos profesionales (BEC) es el segundo más común (34 %) y ahora ocurre con más frecuencia que el ransomware, que era la amenaza de seguridad número 1 en el informe del año pasado. Sin embargo, los terminales infectados con ransomware todavía tienen el mayor impacto en las organizaciones, según la encuesta.

La evolución de las amenazas de pico es una tendencia notable. En enero, los investigadores de seguridad demostraron cómo el chatbpt chatbot puede usarse para hacer que los ataques de ingeniería social, como chispas, sean más difíciles de detectar y más fáciles de hacer. Tecnología para generar variaciones únicas en el mismo señuelo de phishing con texto gramaticalmente correcto y de tipo humano, pero pueden crear canales de correo electrónico completos para que sean más convincentes e incluso pueden generar mensajes utilizando personas de estilo que escriben personas reales sobre la base de muestras. En agosto de 2022, el pico Crooks pasó por alto la autenticación multifactorial (MFA) Microsoft 365 para acceder a la cuenta de un gerente comercial antes de agregar un segundo dispositivo de autenticación para un acceso persistente. Según los investigadores, la campaña fue generalizada y se dirigió a grandes transacciones que podrían alcanzar varios millones de dólares cada uno.