En ciberseguridad, el tiempo de permanencia (dwell time) es el tiempo entre la penetración inicial de un atacante en el entorno de una organización y el momento en que la organización descubre que el atacante está presente.
Según el Informe M-Trends 2022 de Mandiant, con sede en Virginia, el tiempo de permanencia promedio global, o la duración de la presencia de un atacante en el entorno de un objetivo antes de ser detectado, ha disminuido a tres días.
Para las intrusiones investigadas entre el 1ero de octubre de 2020 y el 31 de diciembre de 2021, la media de días entre el momento del ataque y la detección fue de 21, frente a los 24 días de 2020.
La tendencia es un avance prometedor y “demostrable”, dijo a IT Brew Steven Stone, vicepresidente del grupo de prácticas avanzadas de Mandiant.
“Estamos viendo una mejora realmente sólida en el tiempo de permanencia año tras año. Esas son las buenas noticias”, dijo Stone. “La mala noticia es que 21 días sigue siendo mucho tiempo para que un atacante tenga acceso potencial a un entorno corporativo”.
El informe llega después de algunos ataques recientes notables que presentan un tiempo de permanencia prolongado. Apenas este mes, Mandiant descubrió una intrusión de ciberespionaje que permaneció en una red durante 18 meses.
La mejora demostrable
En comparación con años de ciberespías escondidos en una red, 21 días de tiempo de permanencia es un indicador positivo de que la seguridad informática se ha convertido en una prioridad en la empresa, dijo Allie Mellen, analista de seguridad y riesgo de la firma de investigación Forrester, con sede en Cambridge, Massachusetts.
“Es probable que sea una combinación de la madurez de la industria, no solo de las herramientas que se están desarrollando para detectar estas tendencias, sino también de los procesos que los líderes de seguridad informática están implementando”, dijo Mellen a IT Brew. “Los CISO tienen más compromiso comercial. Están recibiendo más atención de Dirección que nunca antes”.
Billy Hurley, No Time to Dwell, IT Brew
Por Aaron Arvizu
Asesor en Tecnologías de la Información