¿Qué innovaciones críticas pueden cambiar el equilibrio en la ciberseguridad, proporcionando a los que somos responsables de defender nuestras organizaciones más capacidades contra los que nos harían daño?
No se trata sólo de un ejercicio teórico. Es algo que todos los que trabajamos en ciberseguridad debemos comprender, y una prioridad clave para la seguridad nacional.
Se ha reflexionado mucho sobre esta cuestión al asesorar a muchos profesionales de TI y a otros dirigentes de Gobiernos. Existen dos acontecimientos clave interrelacionados que pueden cambiar el paradigma de la ciberseguridad. Son los siguientes
Innovaciones en automatización.
El análisis avanzado basado en software, incluidos los macrodatos, el aprendizaje automático, el análisis del comportamiento, el aprendizaje profundo y, finalmente, la inteligencia artificial.
No se insinúa que estas innovaciones puedan revertir la ventaja histórica que el ataque ha tenido sobre la defensa. Pero un mejor uso de la automatización -combinado con análisis avanzados basados en software- puede ayudar a nivelar el campo de juego.
Las ciberamenazas se automatizan cada vez más mediante el uso de tecnología avanzada. Por desgracia, la defensa ha seguido empleando una estrategia basada principalmente en la toma de decisiones humanas y en respuestas manuales adoptadas después de que se hayan producido las actividades de amenaza.
Esta estrategia reactiva no puede mantener el ritmo frente a amenazas altamente automatizadas que operan a velocidad y escala. La defensa ha estado perdiendo -y seguirá perdiendo- hasta que en la comunidad de la ciberseguridad combatamos las máquinas con máquinas, el software con software.
La prevención es clave
Toda buena estrategia defensiva debe ser integral, con protección, detección, respuesta, recuperación y resistencia. La prevención es clave, especialmente en el complejo entorno actual. Ahí es donde no hemos invertido lo suficiente, y donde la automatización y la analítica avanzada pueden marcar una enorme diferencia.
En primer lugar, hay que definir lo que entiendo por prevención, empezando por comprender el proceso básico del ciberataque, a veces denominado ciclo de vida de la ciberamenaza. Este proceso consta de siete pasos:
Sondeo;
Desarrollo de un mecanismo de entrega para llegar a una víctima u objetivo;
Explotar una vulnerabilidad en el entorno de red;
Instalación de código malicioso;
Establecer un canal de control;
Escalar el acceso privilegiado;
Moverse lateralmente dentro del entorno de red.
Estos pasos suelen producirse en ese orden, pero no siempre. El paso final define el éxito de un ataque, que puede consistir en cifrar datos para pedir un rescate, filtrar datos confidenciales, exponer información embarazosa o interrumpir/destruir sistemas, dispositivos o datos.
Los ciberdelincuentes modernos pueden abrirse camino a través del proceso de ataque más rápidamente que nunca con software y máquinas avanzados.
Pero el proceso sigue llevando tiempo, lo que permite a los defensores ver y detener una amenaza en cualquier paso del proceso. Para ello, sin embargo, los defensores deben tener una visibilidad completa de su entorno de red y ser capaces de ofrecer protección en todas partes de forma automática. Por lo tanto, necesitan tanto sensores como puntos de aplicación. El mero hecho de ver actividad maliciosa sin poder detenerla no cambiará la dinámica entre ataque y defensa.
Afrontar la velocidad y la escala
La automatización permite a los equipos de seguridad combatir las máquinas con máquinas y ahorrar su recurso más preciado (las personas) para hacer cosas que sólo las personas pueden hacer mejor y más rápido que las máquinas. Esto incluye la caza y el análisis profundo de alto nivel. Cualquier otro enfoque nunca podrá seguir el ritmo de la velocidad y la escala de las ciberamenazas modernas.
Los análisis avanzados basados en software permiten a los equipos de seguridad combatir el software con software. Hacen posible desplegar sensores y puntos de aplicación en todos los lugares críticos de un entorno de red. Y lo que es más importante, permiten la integración entre los sensores y los puntos de aplicación.
Gracias a la analítica avanzada, cualquier tipo de comportamiento sospechoso en un entorno de red puede compararse rápidamente con el proceso de ataque utilizado por todos los actores u organizaciones de amenazas conocidos. La analítica puede incluso identificar una amenaza nunca antes vista o una posible amenaza que no coincida directamente con una firma o actividad maliciosa conocida.
Utilizando algoritmos de aprendizaje automático, se puede tomar una decisión casi en tiempo real -menos de 10 minutos es lo más avanzado hoy en día- y se puede ofrecer una protección automática para detener la amenaza en cualquier lugar del entorno empresarial de la organización sin necesidad de intervención humana.
Los defensores tienen acceso a una enorme cantidad de datos procedentes de redes, endpoints y nubes. El tipo adecuado de datos incluye indicadores de amenaza cibernética de compromiso, así como información contextual. No incluye las tradicionales minas terrestres legales y políticas, como la información personal identificable, la información sanitaria protegida, la propiedad intelectual o los datos relacionados con la vigilancia.
Aprovechando estos datos, es posible actuar a velocidad y escala con un grado de precisión muy elevado, alcanzando tasas de falsos positivos inferiores al uno por ciento. La clave para este tipo de defensa eficaz es una visibilidad y unos controles de seguridad completos, continuos y coherentes en todos los elementos del entorno de red de una organización, desde la red hasta la nube (pública, privada, híbrida, multi, SAAS), pasando por los dispositivos endpoint e IoT.
Detener las amenazas, mitigar los riesgos
Las protecciones de ciberseguridad que aprovechan la automatización y los análisis avanzados están disponibles hoy en día y mejoran a medida que pasa el tiempo, con más tipos de datos adecuados para impulsar las decisiones y protecciones automatizadas.
En el mejor de los casos, el uso de estas dos innovaciones permite a los equipos de seguridad ver y detener las ciberamenazas antes de que tengan éxito, lo que supone una ventaja para la defensa. En el peor de los casos, permiten a los equipos de seguridad limitar el daño de un ataque exitoso a algo que se determine como un nivel de riesgo aceptable.
¿Por qué es esto tan importante? Eliminar o reducir la ventaja que tiene el ciberataque sobre la defensa es fundamental para crear un ciberespacio más estable. Tradicionalmente, cuando la ofensiva tiene ventaja, crea una enorme inestabilidad. Cuando la defensa tiene ventaja, crea un entorno más estable.
Vivimos en un mundo con un nivel inaceptablemente alto de inestabilidad en el ciberespacio. Los riesgos de error de cálculo, de mala interpretación o incluso de simple equivocación son demasiado elevados. El uso eficaz de la automatización y el análisis avanzado basado en software puede ayudar a nivelar el campo de juego entre el ataque y la defensa y crear una postura de ciberseguridad mucho más eficaz para cualquier organización.
Fuente: CIO
Comments