Automatización, Inteligencia Artificial y aprendizaje automático, nuevas armas frente a ciberamenazas
El malware es cada vez más sofisticado.
Los ciber-delincuentes han comenzado a utilizar servicios Cloud y técnicas de cifrado como método para evitar su detección ocultando la actividad command-and-control.
Así se desprende del Informe Anual de Ciber-seguridad 2018 de Cisco, que desvela también la intención de los profesionales de Seguridad de apoyarse en mayor medida y reforzar la inversión en herramientas de defensa basadas en Inteligencia Artificial (AI) y aprendizaje automático (machine learning) para reducir el tiempo y la capacidad operativa de los atacantes.
Aunque el cifrado pretende reforzar la seguridad, el creciente volumen de tráfico web cifrado (50 por ciento en octubre de 2017) — tanto legítimo como malicioso— genera una mayor dificultad para los defensores a la hora de identificar y monitorizar las amenazas potenciales. Los investigadores de ciber-amenazas de Cisco han detectado que las muestras de malware inspeccionadas en un período de análisis de 12 meses han multiplicado por más de tres el uso de comunicaciones de red cifradas.
Utilizar tecnología de aprendizaje automático puede ayudar a reforzar las defensas de seguridad de red, “aprendiendo” a lo largo del tiempo cómo detectar de forma automática patrones inusuales en entornos de tráfico web cifrado, Cloud, e IoT (Internet of Things).
Algunos de los 3.600 directores de Seguridad (CISOs, Chief Information Security Officers) consultados para el estudio Cisco 2018 Security Capabilities Benchmark incluido en el Informe, afirman estar ya utilizando o considerando utilizar herramientas como IA y aprendizaje automático, a pesar de quejarse del número de falsos positivos que aún generan dichos sistemas. Todavía en sus primeras etapas de desarrollo, las tecnologías IA y machine learning madurarán con el tiempo y aprenderán a detectar la actividad “normal” en los entornos de red que están monitorizando.
El coste económico de los ataques no es hipotético
Según los directivos encuestados, más de la mitad de todos los ciber-ataques tuvieron un coste económico superior a los 500.000 dólares, incluyendo -pero no limitado a- pérdida de ingresos, clientes, oportunidades de negocio y gastos extra.
Los ataques a la cadena de suministro aumentan en términos de velocidad y complejidad
Estos ataques pueden afectar a los ordenadores a gran escala, y persistir durante meses o incluso años. Los defensores deberían ser conscientes del riesgo potencial de utilizar software o hardware de organizaciones que no parecen tener una estrategia de seguridad responsable.
• Dos ataques de este tipo en 2017 -Nyetya y Ccleaner- infectaron a los usuarios atacando software fiable.
• Los defensores deberían comprobar la eficacia de las tecnologías de seguridad de terceros para ayudar a reducir el riesgo de los ataques a la cadena de suministro.
La seguridad es cada vez más compleja, aumenta el alcance de las vulnerabilidades
Los defensores están implementando una compleja combinación de soluciones de múltiples proveedores para protegerse frente a las vulnerabilidades. Esta mayor complejidad, junto al aumento de vulnerabilidades, reduce la capacidad de defensa de las organizaciones incluyendo mayor riesgo de pérdidas económicas.
• En 2017, el 25% de los profesionales de Seguridad afirmaron estar utilizando soluciones de entre 11 y 20 proveedores, frente al 18% en 2016.
• Los profesionales de Seguridad admitieron que el 32% de las vulnerabilidades afectaron a más de la mitad de sus sistemas (15% en 2016).
Los profesionales de Seguridad refrendan el valor de las herramientas de análisis de comportamiento para localizar a los ciber-delincuentes en las redes
• El 92% de los consultados afirmaron que las herramientas de análisis de comportamiento funcionan adecuadamente.
• Dos tercios de los encuestados en el sector de atención sanitaria -seguido por servicios financieros- destacaron que estas herramientas funcionan realmente bien para identificar a los ciber-delincuentes.
Crece el uso del Cloud; los atacantes se aprovechan de la falta de seguridad avanzada
En el estudio de este año, el 27% de los responsables de Seguridad confirmaron estar usando Clouds privados externos (off-premise), frente al 20% en 2016.
• Entre ellos, el 57% albergan redes en la nube por la mejor seguridad de datos; el 48%, debido a su escalabilidad; y el 46% por su facilidad de uso.
• Aunque el Cloud ofrece una mejor seguridad de datos, los atacantes aprovechan el hecho de que los equipos de Seguridad tienen dificultades para defender los cambiantes y crecientes entornos Cloud. La combinación de mejores prácticas, tecnologías avanzadas de seguridad como machine learning, y herramientas de primera línea de defensa como las plataformas de seguridad Cloud pueden ayudar a proteger este entorno.
El creciente volumen de malware afecta al Tiempo de Detección (TTD, Time to Detection) de los defensores
• El Tiempo medio de Detección de nuevas amenazas de Cisco se ha reducido hasta cerca de 4,6 horas para el período de entre noviembre de 2016 y octubre de 2017, desde las 39 horas registradas en noviembre de 2015 y las 14 horas alcanzadas entre noviembre de 2015 y octubre de 2016.
• El uso de tecnología de seguridad basada en Cloud ha sido un factor clave para ayudar a Cisco a alcanzar y mantener este TTD medio en un valor tan bajo. Un TTD menor ayuda a los defensores a actuar con mayor rapidez para detener vulnerabilidades.
Recomendaciones adicionales para las organizaciones:
• Confirmar que se aplican las prácticas y políticas corporativas para el parcheo de aplicaciones, sistemas y dispositivos.
• Acceder a tiempo a datos precisos y procesos de inteligencia frente a amenazas que permiten incorporar dichos datos en la monitorización de la seguridad.
• Utilizar herramientas analíticas avanzadas en mayor medida.
• Hacer back-up de datos más a menudo y probar el funcionamiento de los procesos de restauración, esenciales ante un panorama donde proliferan el ransomware basado en red (mecanismo tipo gusano) y ciber-amenazas más destructivas.
• Analizar la seguridad de entornos de microservicios, servicios Cloud y sistemas de administración de aplicaciones.
John N. Stewart, Vicepresidente Senior y Director de Seguridad y Confianza en Cisco: “La evolución del malware durante el pasado año demuestra que nuestros adversarios siguen aprendiendo. Debemos subir el listón ahora e inculcar en toda la organización, desde los directivos hasta los departamentos de negocio y de tecnología, la necesidad de practicar una seguridad efectiva, ya que hay demasiado riesgo y reducirlo depende de nosotros”.