Los actores de amenazas demoran en pasar del acceso inicial al movimiento lateral ya no días ni horas, la respuesta para muchas organizaciones es "minutos". De hecho, según un informe, el tiempo medio de penetración en 2024 fue 48 minutos, un 22% más corto que el año anterior.
Se trata de una carrera contrarreloj que muchas organizaciones están perdiendo. Afortunadamente, los adversarios no tienen todas las cartas, y los defensores de la red pueden contraatacar. Al invertir en detección y respuesta gestionadas (MDR) de primer nivel de un servicio de confianza, los equipos de IT obtienen acceso a un equipo de expertos que trabaja las 24 horas del día para descubrir, contener y mitigar rápidamente las amenazas entrantes. Es hora de ponerse en la vía rápida. Se espera que el mercado de MDR crezca 20% durante los próximos siete años para superar los 8.300 millones de dólares en 2032. Se trata de una respuesta directa a la evolución del ciberpaisaje. Su creciente popularidad entre los equipos informáticos y de seguridad se debe a varios factores críticos interconectados.
Las infracciones están alcanzando niveles récord: Según el Centro de Investigación del Robo de Identidad (Itrc), el año pasado se produjeron en Estados Unidos más de 3.100 violaciones de datos corporativos, que afectaron a 1.400 millones de víctimas, y 2025 va camino de volver a batir récords.
Las consecuencias financieras son igual de nefastas, por ejemplo, el último informe de IBM sobre el costo de una filtración de datos media en 4,4 millones de dólares. Sin embargo, sólo en Estados Unidos, el costo es mucho mayor, promediando los 10,22 millones de dólares.
La superficie de ataque sigue creciendo: Las empresas cuentan con un gran número de trabajadores remotos e híbridos, además están invirtiendo en la nube, IA, IoT y otras tecnologías para obtener una ventaja competitiva. Estas mismas inversiones -y el continuo crecimiento de las cadenas de suministro- también aumentan el tamaño del objetivo al que apuntan los adversarios.
Los actores de amenazas se están profesionalizando: En la ciberdelincuencia están cada vez más presentes las ofertas basadas en servicios que reducen barreras de entrada para todo, desde phishing y DDoS hasta ransomware y campañas de infostealer.
La escasez de competencias y recursos sigue creciendo: Hace tiempo que los equipos defensivos carecen de personal suficiente. El déficit mundial de profesionales de seguridad informática se estima en más de 4,7 millones. Además, el 25% de las organizaciones informan sobre despidos en ciberseguridad, los líderes empresariales no están de humor para gastar mucho en talento y equipos para un Centro de Operaciones de Seguridad (SOC).
La externalización en este contexto tiene todo el sentido. Es una forma más barata (especialmente en gastos de capital) de ofrecer supervisión y detección de amenazas 24 horas al día, 7 días a la semana, incluida la búsqueda proactiva de amenazas, por parte de un equipo de expertos especializados. Esto no sólo ayuda a superar la escasez de personal cualificado, sino que también garantiza una protección rápida y permanente. Esto puede aportar tranquilidad, especialmente en un momento en el que el 86% de las víctimas de ransomware admiten haber sido atacadas durante el fin de semana o en un día festivo.
La velocidad que ofrece la tecnología MDR es importante porque puede ayudar a minimizar el tiempo de permanencia del atacante, que actualmente es de 11 días, según Mandiant. Cuanto más tiempo se permita a los adversarios permanecer en la red, más tiempo tendrán para encontrar y extraer datos confidenciales y desplegar ransomware. Además, contener rápidamente el "radio de explosión" de un ataque, garantiza el aislamiento de los sistemas o segmentos de red comprometidos y evita así la propagación de la brecha. A su vez, ayuda reducir los costos que conllevan las violaciones graves, incluidos el tiempo de inactividad, la reparación, la reputación de la marca, la notificación, la consultoría de TI y las posibles multas reglamentarias, y permite mantener satisfechos a los organismos reguladores demostrando el compromiso con una detección y respuesta rápidas y eficaces a las amenazas.
Una vez que se desde una organización se decide mejorar las operaciones de seguridad (SecOps) con una solución MDR, la atención debe centrarse en los criterios de compra. Con tantas soluciones en el mercado, es importante encontrar la adecuada, que para Eset, como mínimo debería contar con detección y respuesta a amenazas basadas en IA. Análisis inteligentes para detectar automáticamente comportamientos sospechosos, utilizar datos contextuales para mejorar la fidelidad de las alertas y corregirlas automáticamente cuando sea necesario. Esta es la forma de acelerar las investigaciones y solucionar los problemas antes de que los adversarios tengan la oportunidad de causar daños duraderos.
Un equipo de expertos de confianza: Tan importante como la tecnología es el personal que respalda la solución MDR. Se necesita experiencia en SOC de nivel empresarial que trabajen como una extensión del equipo interno de seguridad de IT para gestionar la supervisión diaria, la búsqueda proactiva de amenazas y la respuesta a incidentes.
Capacidades de investigación de punta: Los proveedores que cuentan con laboratorios de investigación de malware de renombre estarán mejor situados para detener las amenazas emergentes, incluidas las de zero-day. Esto se debe a que los equipos experimentados investigan cada día nuevos ataques y cómo mitigarlos. Esta inteligencia tiene un valor incalculable en un contexto de MDR.
Despliegue personalizado: Una evaluación del cliente antes de cada nueva contratación garantiza que el proveedor de MDR comprenda el entorno de IT y su cultura de seguridad únicos.
Cobertura completa: Busque capacidades similares a las de XDR en endpoint, correo electrónico, red, nube y otras capas, sin dejar a los adversarios espacio para esconderse.
Búsqueda proactiva de amenazas: Investigaciones periódicas para encontrar amenazas que pueden haber eludido el análisis automatizado, incluidas amenazas APT sofisticadas y explotaciones de día cero.
Rápida incorporación: Una vez que haya elegido un proveedor, lo último que necesita es esperar semanas hasta que pueda beneficiarse de la protección. Las reglas de detección, las exclusiones y los parámetros deben estar correctamente configurados antes de empezar.
Compatibilidad con otras herramientas: Las herramientas de detección y respuesta deben funcionar a la perfección con sus herramientas de gestión de eventos e información de seguridad (Siem) y de orquestación y respuesta de seguridad (Soar).
El MDR adecuado añadirá una capa de valor incalculable al entorno de ciberseguridad, con un enfoque basado en la prevención, y centrado principalmente en impedir que códigos o actores maliciosos dañen los sistemas informáticos. Esto significa utilizar también protección de servidores, puntos finales y dispositivos, gestión de vulnerabilidades y parches, y cifrado de disco completo, entre otros elementos.