En Censys hablamos constantemente de la importancia de los datos para el éxito de la ciberseguridad. Es un elemento fundamental de la práctica, que impulsa casi todas las decisiones que los equipos tienen que tomar. ¿Qué activos están expuestos? ¿Dónde debemos buscar las amenazas? ¿Cómo está cambiando nuestra superficie de ataque con el tiempo? Sus datos guían las respuestas a estas preguntas.
Sin embargo, llegar o no a las respuestas correctas depende de la calidad de esos datos. Y gran parte de la calidad es la "frescura". En un panorama de amenazas en rápida evolución, los equipos de ciberseguridad necesitan datos lo suficientemente actualizados como para permitirles detectar exposiciones en su propia superficie de ataque e identificar amenazas externas antes de que los adversarios puedan actuar.
Lo que nos lleva a la siguiente pregunta: ¿cómo saber si los datos son "suficientemente recientes"?
Considere este estudio de GreyNoise Research, que descubrió que aproximadamente cada tres minutos entidades desconocidas y posiblemente maliciosas realizan sus propios escaneos de Internet. Eso es casi un escaneado continuo por parte de posibles adversarios. Si su propio flujo de datos no se mantiene al día, los actores de amenazas tendrán con toda seguridad la oportunidad de explotar los riesgos de su superficie de ataque antes de que su equipo se entere.
Una visión casi en tiempo real
Por tanto, los equipos de ciberseguridad necesitan una visión de lo que está ocurriendo hoy, no el mes pasado, la semana pasada o un día cualquiera de hace dos semanas. Sin una visión casi en tiempo real de las superficies de ataque y de la infraestructura global de Internet, los equipos tienen que tomar decisiones con datos obsoletos que pueden pasar por alto nuevas amenazas o enviar a los analistas a investigar actividades que ya han cambiado.
Muchos equipos de ciberseguridad no están aprovechando datos realmente actualizados. De hecho, solo el 14 % de los encuestados en el estudio sobre higiene de la seguridad y gestión de posturas de 2023 afirmaron que analizan continuamente sus superficies de ataque. Un tercio de los encuestados escanea mensualmente, y el 19% solo escanea sus superficies de ataque trimestralmente.
¿Qué impide a los equipos ponerse al día? Algunos proveedores cobran más a los usuarios por escanear Internet con más frecuencia, e incluso así, sólo ofrecen actualizaciones semanales. De hecho, muchas fuentes de datos de Internet en el mercado no ofrecen una visibilidad casi en tiempo real, lo que puede llevar a los equipos a creer que simplemente no hay una opción mejor. Por supuesto, esto no es cierto. El mapa de InternetCensys , que impulsa nuestra plataforma de inteligencia de Internet para la caza de amenazas y la gestión de la exposición, ofrece la visión más actualizada de Internet global disponible, escaneando todo el IPv4 cada 2-3 minutos.
En otras palabras, Censys sigue el ritmo de la exploración de posibles adversarios observada por GreyNoise.
Merece la pena obtener datos realmente recientes, porque con ellos los equipos de ciberseguridad están mejor equipados para tomar medidas, entre otras cosas:
- Detectar riesgos en su superficie de ataque antes que los adversarios
- Identificar rápidamente las amenazas emergentes
- Observar los cambios en su superficie de ataque y otros servicios en Internet
- Acelerar el tiempo de respuesta a los incidentes
Dado que casi todos los responsables de seguridad encuestados (93%) afirman haber sufrido un ciberataque en los últimos 12 meses, la necesidad de disponer de mejores datos es evidente.
Otros criterios a tener en cuenta
Por supuesto, la frescura no es la única expectativa que los equipos deben tener de sus datos. Los datos en los que se basan las decisiones de ciberseguridad también deben ser completos (es decir, los datos deben basarse en un escaneado multiperspectivo con cobertura global), precisos (los falsos positivos y negativos deben reducirse al mínimo) y contextualizados (los datos deben estar etiquetados y ser fáciles de filtrar). Este último atributo es muy importante, ya que los equipos deben ser capaces de entender rápidamente lo que están viendo sin necesidad de investigar. ¿Los datos están etiquetados e incluyen la posibilidad de analizar e indexar campos para organizarlos mejor? ¿Se pueden incluir fácilmente en un informe para los ejecutivos?
Mejorar con mejores datos
Los equipos no deberían tener que conformarse con menos que datos extremadamente frescos. Si sus datos se actualizan mensualmente, trimestralmente o de forma intermitente, considérelos caducados. Merece datos casi en tiempo real en los que su equipo pueda confiar para proteger de forma proactiva a su organización frente a los actores de amenazas avanzadas.
Vea nuestros datos en acción
