La IA Avanzada y la Contra Inteligencia de Amenazas marcarán el cibercrimen en 2020
Predicciones Ciberseguridad 2020.
Fortinet, líder global en soluciones de ciberseguridad automatizadas e integradas, ha desvelado hoy las predicciones de su equipo de expertos en ciberseguridad, FortiGuard Labs, sobre el panorama de amenazas que nos deparará el 2020. En su análisis se revelan los métodos que Fortinet prevé que los ciberdelincuentes emplearán en un futuro próximo, junto con las estrategias que ayudarán a las organizaciones a protegerse de estos ataques.
Para Derek Manky, Chief, Security Insights & Global Threat Alliances en Fortinet, “gran parte del éxito del cibercrimen se ha debido a su capacidad para aprovechar la superficie de ataque en expansión y las consiguientes brechas de seguridad producidas durante el proceso de transformación digital. Recientemente, sus metodologías de ataque se han vuelto más sofisticadas al integrar los precedentes de la IA y la tecnología de enjambre. Afortunadamente, este modelo está a punto de cambiar en la medida en que más organizaciones protejan sus redes aplicando el mismo tipo de estrategias que los delincuentes están utilizando para atacarlas. Esto requiere un enfoque unificado que sea amplio, integrado y automatizado, que permita la protección y la visibilidad en todos los segmentos de la red, así como en varios perímetros, desde el IoT hasta las nubes dinámicas”.
Las predicciones de Fortinet para 2020 se articulan bajo dos premisas: la trayectoria de los ciberataques está cambiando y la sofisticación del cibercrimen no se ralentiza.
La trayectoria cambiante de los ciberataques
Las metodologías de ciberataque se han vuelto más sofisticadas en los últimos años, aumentando su eficacia y velocidad. Es probable que esta tendencia continúe a menos que más organizaciones replanteen sus estrategias de seguridad. Con el volumen, la velocidad y la sofisticación del actual panorama global de amenazas, las organizaciones deben ser capaces de responder en tiempo real a la velocidad de las máquinas para contrarrestar con eficacia los ataques agresivos. Los avances en inteligencia artificial y en inteligencia de amenazas serán vitales en esta lucha.
• La evolución de la IA como sistema
Uno de los objetivos del desarrollo de la inteligencia artificial (IA) centrada en la seguridad ha sido crear un sistema inmunitario adaptativo para la red similar al del cuerpo humano. La primera generación de IA fue diseñada para utilizar modelos de machine learning para aprender, correlacionar y luego determinar un plan de acción específico. La segunda generación de IA aprovecha su capacidad cada vez más sofisticada de detectar patrones para mejorar significativamente áreas como el control de acceso mediante la distribución de nodos de aprendizaje en un entorno. La tercera generación de IA es donde en lugar de depender de un centro de procesamiento central y monolítico, la IA interconectará sus nodos de aprendizaje regionales para que los datos recolectados localmente puedan ser compartidos, correlacionados y analizados de una manera más distribuida. Este será un avance muy importante a medida que las organizaciones busquen asegurar sus entornos periféricos en expansión.
• Un Machine Learning Federado
Además de aprovechar las formas tradicionales de información sobre amenazas extraídas de las fuentes o derivadas del tráfico interno y del análisis de datos, el machine learning se basará en una avalancha de información relevante procedente de los nuevos dispositivos periféricos a los nodos de aprendizaje locales. Al rastrear y correlacionar esta información en tiempo real, el sistema de IA no solo será capaz de generar una visión más completa del panorama de amenazas, sino también de refinar la forma en que los sistemas locales pueden responder a los eventos locales.
Los sistemas de IA podrán ver, correlacionar, rastrear y prepararse para las amenazas compartiendo información a través de la red. Eventualmente, un sistema de aprendizaje federado permitirá interconectar conjuntos de datos para que los modelos de aprendizaje puedan adaptarse a los entornos cambiantes y a las tendencias de los eventos y para que un evento en un momento dado mejore la inteligencia de todo el sistema.
• Combinar la IA y los Playbooks para predecir ataques
Invertir en inteligencia artificial no solo permite a las organizaciones automatizar las tareas, sino que también puede habilitar un sistema automatizado que puede buscar y descubrir los ataques, después de los hechos y antes de que se produzcan. La combinación del aprendizaje automático con el análisis estadístico permitirá a las organizaciones desarrollar una planificación de acción personalizada vinculada a la IA para mejorar la detección de amenazas y la respuesta.
Estos Playbooks de amenazas podrían descubrir patrones subyacentes que permiten al sistema de IA predecir el siguiente movimiento de un atacante, pronosticar dónde es probable que ocurra el siguiente ataque, e incluso determinar qué actores de la amenaza son los más probables culpables. Si esta información se añade a un sistema de aprendizaje de IA, los nodos de aprendizaje remoto serán capaces de proporcionar una protección avanzada y proactiva, donde no solo detectan una amenaza, sino que también pronostican los movimientos, intervienen proactivamente y se coordinan con otros nodos para cerrar simultáneamente todas las vías de ataque.
• La oportunidad de la contrainteligencia y el engaño
Uno de los recursos más críticos en el mundo del espionaje es la contrainteligencia, y lo mismo ocurre cuando se ataca o defiende un entorno en el que los movimientos están siendo cuidadosamente monitorizados. Los defensores tienen una clara ventaja al disponer de un acceso a los tipos de información sobre amenazas que los ciberdelincuentes generalmente no tienen, lo que puede aumentarse con el aprendizaje automático y la inteligencia artificial.
El uso cada vez mayor de tecnologías de engaño podría desencadenar una represalia de contrainteligencia por parte de los ciberdelincuentes. En este caso, los atacantes tendrán que aprender a diferenciar entre tráfico legítimo y tráfico generado por señuelos evitando ser atrapados simplemente por espiar los patrones de tráfico. Las organizaciones podrán contrarrestar eficazmente esta estrategia añadiendo Playbooks y una IA más generalizada a sus estrategias de engaño. Esta estrategia no solo detectará a los delincuentes que buscan identificar el tráfico legítimo, sino que también mejorará el tráfico engañoso para que sea imposible diferenciarlo de las transacciones legítimas. Eventualmente, las organizaciones podrían responder a cualquier esfuerzo de contrainteligencia antes de que ocurran, lo que les permitiría mantener una posición de control superior.
• Integración total con las Fuerzas del Orden
La ciberseguridad tiene requisitos únicos relacionados con temas como la privacidad y el acceso, mientras que la ciberdelincuencia no tiene fronteras. Como resultado, las organizaciones encargadas de hacer cumplir la ley no solo están estableciendo centros de mando mundiales, sino que también han comenzado a conectarlos con el sector privado, por lo que están un paso más cerca de identificar y responder a los ciberdelincuentes en tiempo real. Un tejido de relaciones entre los organismos encargados de hacer cumplir la ley y los sectores público y privado puede ayudar a identificar a los ciberdelincuentes y responderles. Las iniciativas que fomentan un enfoque más unificado para colmar las lagunas entre los distintos organismos internacionales y locales encargados de hacer cumplir la ley, los gobiernos, las empresas y los expertos en seguridad contribuirán a agilizar el intercambio oportuno y seguro de información para proteger las infraestructuras críticas y contra la ciberdelincuencia.
La sofisticación de los ciberadversarios no se ralentiza
Los cambios en la estrategia no pueden realizarse sin la respuesta de los ciberdelincuentes. Para las redes y organizaciones que utilizan métodos sofisticados para detectar y responder a los ataques, la respuesta puede ser que los delincuentes intenten responder con otro aún más fuerte. Combinado con métodos de ataque más sofisticados, la superficie de ataque potencial en expansión y sistemas más inteligentes habilitados para la inteligencia artificial, la sofisticación de los ciberdelincuentes no está disminuyendo.
• Técnicas Avanzadas de Evasión
El último informe sobre el panorama de amenazas de Fortinet mostraba un incremento en el uso de técnicas avanzadas de evasión diseñadas para evitar la detección, deshabilitar las funciones y dispositivos de seguridad y operar bajo el radar utilizando estrategias living off the land (LOTL) explotando el software instalado existente y distinguiendo tráfico malicioso y legítimo. Muchas herramientas de malware actual incorporan funcionalidades para evitar los antivirus u otras medidas de detección de amenazas, pero los ciberadversarios son cada vez más sofisticados en sus prácticas de confusión y anti análisis para evitar la detección. Tales estrategias maximizan las debilidades en recursos de seguridad y de personal.
• Tecnología enjambre
En los últimos años, el auge de la tecnología de enjambre, que aprovecha el aprendizaje automático y la IA para atacar redes y dispositivos, ha mostrado un nuevo potencial. Los avances en la tecnología de enjambres tienen poderosas implicaciones en campos como la medicina, el transporte, la ingeniería y la resolución automatizada de problemas. Sin embargo, si se usa maliciosamente, también puede ser utilizado por los adversarios cuando las organizaciones no actualizan sus estrategias de seguridad. Cuando es así, los enjambres de bots pueden ser utilizados para infiltrarse en una red, saturar las defensas internas y encontrar y extraer datos de manera eficiente. Eventualmente, los bots especializados, armados con funciones específicas, podrán compartir y correlacionar la inteligencia recopilada en tiempo real para acelerar la capacidad de un enjambre de seleccionar y modificar ataques para comprometer un objetivo, o incluso varios objetivos simultáneamente.
• Armamento 5G y Edge Computing
La llegada del 5G puede terminar siendo el catalizador inicial para el desarrollo de ataques funcionales basados en enjambres. Esto sería posible gracias a la capacidad de crear redes locales ad hoc que puedan compartir y procesar rápidamente la información y las aplicaciones. Al utilizar el 5G y el Edge Computing, los dispositivos explotados de forma individual podrían convertirse en un conducto para el código malicioso, y los grupos de dispositivos comprometidos podrían trabajar en conjunto para alcanzar a sus víctimas a velocidades de 5G. Dada la velocidad, la inteligencia y la naturaleza localizada de un ataque de este tipo, para las tecnologías de seguridad heredadas sería un auténtico desafío luchar eficazmente contra una estrategia tan persistente.
• Un cambio en cómo los ciberdelincuentes utilizan los ataques de día cero
Tradicionalmente, encontrar y desarrollar un exploit para una vulnerabilidad de día cero era costoso, por lo que los delincuentes suelen usarlos hasta que se neutraliza su surtido de ataques existente. Con la expansión de la superficie de ataque, se vislumbra un aumento en el volumen de vulnerabilidades de día cero potencialmente explotables. El fuzzing de IA y la minería de día cero también tienen la capacidad de aumentar exponencialmente el volumen de ataques de este tipo. Será necesario establecer medidas de seguridad para contrarrestar esta tendencia.