ciberseguridad 2019

Predicciones en ciberseguridad empresarial para el 2019

Fortinet, partner de Optical Networks, presentó sus predicciones para el 2019 en el ámbito de las amenazas cibernéticas y la ciberseguridad de las empresas. Durante el próximo periodo se esperan avances significativos en las herramientas y servicios cibernéticos que aprovechan la automatización y los precursores de la inteligencia artificial (IA).

En opinión de Fortinet, las organizaciones deben adoptar la automatización y la IA para reducir el tiempo desde la intrusión a la detección y desde la detección a la contención.

“Un hacker ataca en menos de 48 horas, pero una empresa nota el ataque 200 días después”, comenta Renato Guimaraes, arquitecto de soluciones en la nube de Microsoft LATAM.

Ciberataques más sofisticados e inteligentes

Para muchas organizaciones criminales las técnicas de ciberataque se evalúan no sólo en términos de su efectividad, sino también en los costos generales necesarios que este ataque puede conllevar.

Una forma en que las organizaciones se defienden es mediante la adopción de nuevas tecnologías y estrategias de ciberseguridad -como el Machine Learning y la automatización- para realizar actividades tediosas y prolongadas que normalmente requieren un alto grado de supervisión e intervención humana.

Es probable que estas nuevas estrategias de defensa tengan un impacto en las estrategias de los ciberdelincuentes, haciéndolos cambiar los métodos de ataque y acelerar sus propios esfuerzos de desarrollo.

En un esfuerzo por adaptarnos al mayor uso del aprendizaje automático y la automatización, las predicciones apuntan a que la comunidad de delincuentes cibernéticos adoptará las siguientes estrategias:

Fuzzing de inteligencia artificial (AIF)

Tradicional, Fuzzing se conocía como una técnica sofisticada utilizada en entornos de laboratorio por investigadores de amenazas profesionales para descubrir vulnerabilidades en las interfaces y aplicaciones de hardware y software.

Esto se hace al inyectar datos no válidos, inesperados o semi-aleatorios en una interfaz o programa y luego monitorear eventos como fallas, saltos no documentados a las rutinas de depuración, aserciones de códigos fallidos y posibles fugas de memoria.

Sin embargo, a medida que los modelos de aprendizaje automático se aplican a este proceso, es probable que esta técnica será más eficiente y personalizada.

Mientras los ciberdelincuentes comiencen a aprovechar el Machine Learning para desarrollar Malwares automatizados, podrán acelerar el proceso de descubrimiento de vulnerabilidades de día cero, lo que llevará a un aumento en los ataques de este tipo dirigidos a diferentes programas y plataformas.

Minería de día cero usando Artificial Intelligence Fuzing

Una vez que la Artificial Intelligence Fuzing (AIF) está en su lugar, se puede apuntar el código dentro de un entorno controlado para explotar las vulnerabilidades de día cero.

Una vez que se habilite la minería como servicio de día cero, cambiará drásticamente la forma en que las organizaciones deben abordar la seguridad, ya que no habrá manera de anticipar dónde aparecerán estos ataques, ni tampoco cómo defenderse adecuadamente contra ellos.

Esto será especialmente difícil cuando se utilicen herramientas de seguridad aisladas o heredadas que muchas organizaciones tienen implementadas hoy en sus redes.

El ‘costo’ de los ataques de día cero

Históricamente, el costo de los ataques de día cero ha sido bastante alto, principalmente debido al tiempo, el esfuerzo y la habilidad necesarios para descubrirlos.

Pero a medida que la tecnología de IA se aplique a lo largo del tiempo, tales exploits pasarán de ser una singularidad a convertirse en un producto a la carta vendido en la Deep Web.

Ya hemos presenciado la mercantilización de exploits más tradicionales como ransomware y botnets, y los resultados han llevado a muchas de las tecnologías tradicionales a sus límites.

La aceleración en la cantidad y variedad de vulnerabilidades y exploits disponibles, incluida la capacidad de generar rápidamente Zero day Exploits y ofrecerlas como un servicio, puede afectar radicalmente los tipos y costos de estos ataques disponibles en la web oscura.

Swarm-as-a-service

Avances significativos en ataques sofisticados impulsados por tecnología de inteligencia basada en enjambres nos están acercando a la realidad de las botnets gigantes conocidas como ‘hivenets’.

La progresión de esta generación emergente de amenazas se utilizará para crear grandes enjambres de bots inteligentes que pueden operar de forma colaborativa y autónoma.

Estas redes de enjambre no solo elevarán el nivel en términos de las tecnologías necesarias para defender a las empresas, sino que al igual que la minería de día cero, también tendrán un impacto en el modelo comercial de los ciberdelincuentes.

A la larga, a medida que evolucionen las tecnologías de exploits y las metodologías de ataque, su impacto más significativo será en los modelos de negocio empleados por la comunidad de ciberdelincuentes.

En la actualidad, el ecosistema criminal está muy impulsado por las personas. Los hackers profesionales contratados crean ataques personalizados a cambio de una tarifa, e incluso los nuevos avances como el ransomware-as-a-Service, requieren que los ingenieros criminales aporten diferentes recursos para la creación y prueba de ataques, y para la administración de servicios C2 back-end.

Pero cuando se ofrece enjambre-como-servicio autónomo y de autoaprendizaje, la cantidad de interacción directa entre un hacker-cliente y un empresario criminal se reduce drásticamente.

Enjambres-a-la-carta

La capacidad de subdividir un enjambre en diferentes tareas para lograr un resultado deseado es muy similar a la forma en que el mundo se ha movido hacia la virtualización.

En una red virtualizada, los recursos pueden aumentar o disminuir las máquinas virtuales en función de la necesidad de abordar problemas particulares como el ancho de banda.

Del mismo modo, los recursos en una red de enjambre podrían asignarse o reasignarse para abordar desafíos específicos encontrados en una cadena de ataque.

Un enjambre que los cibercriminales ya han preprogramado con una gama de herramientas de análisis y exploits, combinados con protocolos de autoaprendizaje que les permiten trabajar en grupo para refinar sus protocolos de ataque, hace que la compra de un ataque para los ciberdelincuentes sea tan simple como seleccionar de un menú a la carta.

Envenenamiento del Machine Learning

El aprendizaje automático es una de las tecnologías más prometedoras en el kit de herramientas de seguridad defensiva.

Los dispositivos y sistemas de seguridad pueden capacitarse para realizar tareas específicas de forma autónoma como establecer líneas de base de comportamiento, aplicar análisis de comportamiento para identificar amenazas sofisticadas, o rastrear y aplicar parches a los dispositivos.

Desafortunadamente, este proceso también puede ser explotado por los ciberdelincuentes. Al enfocarse en el proceso de aprendizaje automático, los hackers podrán capacitar dispositivos o sistemas para que no apliquen parches o actualizaciones a un artefacto de la red en particular, ignoren tipos específicos de aplicaciones o comportamientos, o no registren tráfico específico para evadir la detección.

Esto tendrá un importante impacto evolutivo en el futuro del aprendizaje automático y la tecnología de inteligencia artificial.

Las defensas tendrán que evolucionar

Para contrarrestar estos desarrollos, las organizaciones continuarán elevando el estándar contra los ciberdelincuentes.

Cada una de estas predicciones defensivas tendrá un impacto en las organizaciones criminales, obligándoles a cambiar sus tácticas, modificar ataques y desarrollar nuevas formas de evaluar oportunidades.

El costo de lanzar sus ataques aumentará, lo que requerirá que los desarrolladores criminales gasten más recursos para el mismo resultado o encuentren una red más accesible para explotar.

Tácticas de engaño avanzadas

La integración de técnicas de engaño en las estrategias de seguridad que introducen variaciones de red creadas alrededor de información falsa obligará a los atacantes a validar continuamente su inteligencia de amenazas, gastar tiempo y recursos para detectar falsos positivos y garantizar que los recursos en red que pueden ver son realmente legítimos.

Y dado que cualquier ataque a recursos de red falsos se puede detectar de inmediato, lo que desencadena automáticamente las contramedidas, los atacantes deberán ser extremadamente cautelosos al realizar hasta las tácticas más básicas como sondear la red.

Colaboración abierta unificada

Una forma efectiva de mantenerse al día con estos cambios es compartir activamente la inteligencia de amenazas.

La inteligencia de amenazas continuamente actualizada permite que los proveedores de seguridad y sus clientes se mantengan al tanto del panorama de amenazas más reciente.

Los esfuerzos de colaboración abierta entre organizaciones de investigación de amenazas, alianzas de la industria, fabricantes de seguridad y agencias de aplicación de la ley acortará significativamente el tiempo para detectar nuevas amenazas al exponer las tácticas utilizadas por los atacantes.

Sin embargo, en lugar de ser sólo receptivo, la aplicación de análisis de comportamiento a las fuentes de datos en vivo a través de la colaboración abierta permitirá que los defensores puedan predecir el comportamiento del malware, evitando así que el tipo actual de ciberdelincuentes aproveche repetidamente el malware existente.

La velocidad, integración y automatización son fundamentales para la ciberseguridad

No hay una estrategia de defensa futura que implique automatización o aprendizaje automático sin un medio para recopilar, procesar y actuar sobre la información de amenazas de manera integrada que aproveche la sofisticación de una respuesta inteligente.

Para enfrentar la creciente sofisticación de las amenazas, las organizaciones deben integrar todos los elementos de seguridad en un entramado de elementos para encontrar y responder a velocidad y poder escalar de manera adecuada.

La inteligencia avanzada de amenazas correlacionada y compartida en todos los elementos de seguridad debe automatizarse para reducir las ventanas de detección necesarias y proporcionar una rápida remediación.

La integración de productos puntuales desplegados en la red distribuida, combinada con la segmentación estratégica, ayudará significativamente a combatir la naturaleza cada vez más inteligente y automatizada de los ataques.