Éxito del primer Foro sobre IA en Ciberseguridad de Vectra AI en España
Vectra, líder en detección y respuesta frente a amenazas en la nube híbrida basadas en IA de Seguridad, ha celebrado el pasado 1 de junio su primer Foro sobre el uso de la Inteligencia Artificial en ciberseguridad en España. Este evento ha suscitado mucho interés y la participación fue un éxito.
En este foro se trataron los siguientes temas:
• Detección y respuesta ante amenazas
Los retos a los que se enfrentan las organizaciones ante la ampliación de la superficie de ataque y cómo utilizan las soluciones de detección y respuesta ante amenazas para limitar el riesgo.
• Inteligencia Artificial
Qué puede aportar la IA para la detección de amenazas en los entornos híbridos actuales.
• Vectra Attack Signal IntelligenceTM
Cómo con Vectra Attack Signal IntelligenceTM se pueden detectar tanto los exploits de vulnerabilidades como el comportamiento de los atacantes en entornos híbridos y multi-nube.
Eutimio Fernández, Country Manager para la Península Ibérica de Vectra AI actuó de maestro de ceremonia dando la bienvenida a los asistentes y destacó en su introducción que: “La rápida adopción de entornos híbridos y multi-nube seguirá planteando retos importantes para los CISO y los responsables de la seguridad. A medida que se amplíen las superficies de ataque, los equipos de seguridad tendrán dificultades para mantener la visibilidad y el control de sus entornos. El aumento de herramientas y alertas provoca fatiga de alertas, lo que dificulta la identificación de las amenazas más urgentes. Un ‘insider’ o atacante puede estar dentro de nuestra red una media de 177 días sin que lo sepamos. Ha abatido el EDR, ha pasado a través del firewall, ha pasado a través de mi entorno SaaS, se ha descargado algo, etc. Vectra AI viene precisamente a solucionar esto, creando una solución basada en inteligencia artificial de forma que eliminamos todos los problemas que surgen a la hora de monitorizar una red interna. La inteligencia artificial de Vectra AI aprende de la red y además la tenemos entrenada para aprender el comportamiento del insider. Cubrimos más del 97% de la superficie de ataque. Así, sin pensar en la anomalía, ya sabemos cuándo hay un insider dentro. Esa es la idea. Eso es lo que construyó Vectra AI entrenando modelos de Machine Learning desde el año 2011. Tenemos más de 12 patentes en inteligencia artificial de seguridad. Somos los únicos en tener esto a día de hoy”.
A continuación, tomó la palabra Gregory Cardiet, VP Security Engineering, International de Vectra AI y uno de los primeros empleados de la compañía. Resaltó la naturaleza cambiante de las amenazas a lo largo de los años, con medidas de seguridad tradicionales como cortafuegos y software antivirus cada vez menos eficaces debido al creciente número de brechas y malware que se crean. Explicó que: “Vectra AI se centra en detectar los puntos críticos del avance de un pirata informático dentro de una red mediante el análisis del tráfico de red y algoritmos basados en el comportamiento. La empresa cuenta con una amplia base de usuarios que ayudan a probar y mejorar sus algoritmos de detección de amenazas. Los ataques de ransomware se han vuelto más sofisticados y silenciosos y son cada vez más difíciles de detectar como en el de una empresa farmacéutica que sufrió un ataque a pesar de contar con múltiples medidas de seguridad. Vectra AI fue capaz de detectar y analizar la amenaza en cuestión de minutos y proporcionar información valiosa. Existe un aumento de comportamientos similares a APT entre los grupos de ransomware y cómo reproducen técnicas de ataque exitosas y por ello hay que mejorar las capacidades de detección de amenazas”.
Aaron Turner, Cloud Security Evangelist de Vectra AI fue el siguiente ponente y desde sus más de 30 años de experiencia en ciberseguridad, compartió con la audiencia sus conclusiones acerca del enfoque hacia la ciberdefensa. “Nosotros, como defensores no sabemos coordinarnos bien. No compartimos información rápidamente. No estamos invirtiendo en la herramienta para poder ayudar a la gente a ser más eficaz en su trabajo. La nube ha cambiado muchas de las cosas, Microsoft 365, AWS, etc. y los entornos híbridos son para siempre. De ahora en adelante todo va a ser siempre ‘más’, más eventos, más sistemas, más usuarios. Y lo que nosotros, como defensores, podemos ver, es que de la superficie de ataque es cada vez mayor y los analistas que están a cargo de responder a esos ataques, no se sienten eficaces en su trabajo, se desaniman y dejan su trabajo. Nuestra meta en Vectra AI es poder ayudar a entender estos entornos. La Inteligencia Artificial Generativa como ChatGPT, ayuda a los atacantes a ser mejores, más eficaces. Nuestra meta en Vectra AI es mejorar la Inteligencia Artificial de Comportamiento, porque el comportamiento es más importante para los defensores. Porque sabemos que cazar a los atacantes en entornos híbridos es difícil, y nunca va a ser fácil”, dijo Turner. “Un entorno muy importante en el que me he centrado durante los últimos 8 años es el entorno de Microsoft 365. En los últimos 5 años del 2018 hasta finales de 2022 más de 345 millones de usuarios se han trasladado a este entorno, por ello, los atacantes los han seguido allí. Los atacantes ven este entorno como un lugar donde pueden desarrollar ataques y luego utilizarlos una y otra vez porque hay millones de usuarios. Es importante saber que el 30% de los usuarios en este entorno tiene entre 25 y 34 años. Este dato es importante porque esta generación es la que es más frecuentemente atacada. En los últimos 18 meses, junto con nuestros socios, usuarios y clientes, hemos estado monitorizando el entorno Microsoft 365 de una muestra de 320 compañías y aquí es donde hemos visto que los ataques son los más frecuentes, comenzando con los protocolos de Exchange ya que generalmente, los usuarios llegan a la nube de Microsoft primero por el correo electrónico”, añadió Turner. “Después del correo electrónico están subiendo mucho los ataques contra Teams ya que ha llegado a sustituir al correo electrónico. Y lo que hemos visto es que si los atacantes pueden tomar la identidad de Teams, es muy muy difícil saber quién es el usuario real y quién es el usuario falso. Lo que vemos según estas tendencias es que cuando hay cientos de miles de usuarios en un entorno, los ataques van a cambiar según el comportamiento de los usuarios. Y nuestra meta es ayudar a los equipos de seguridad a poder ser más eficaces en estas situaciones. Lo que queremos hacer es coordinar la información de la red corporativa antigua y la red corporativa nueva que es el entorno de la nube de Microsoft, porque los ataques pueden venir de la nube pero luego se redirigen al entorno antiguo”, concluyó Turner.
Luego, tomó la palabra Raúl Benito, Regional Manager Iberia de SentinelOne para explicar cuál es la relación de SentinelOne con Vectra AI. “¿Qué sentido tiene nuestra integración con Vectra AI? ¿O por qué nuestra alianza con Vectra AI puede ser muy potente? Cuando estás monitorizando cualquier incidente dentro de una red, tienes dos vías. Estás monitorizando en Vectra AI esos procesos, esos logs que me están indicando si puedo tener algún indicio de incidente, de una forma muy sencilla, con un solo clic me puedo ir a esta consola de SentinelOne para aislar a ese usuario, para aislar ese activo, para hacer esa segmentación. De una forma muy sencilla podemos remediar o prevenir esa propagación del ataque desde la misma consola de Vectra. ¿Por qué es muy importante esto? Yo no necesito que Vectra se lo mande a un SIEM, lo correle con ciertas cosas para que alguien lo analice, para que alguien cree un playbook, todo esto lo puedo hacer con un solo clic, puedo estar actuando inmediatamente sobre algo que ha sido detectado”, dijo Benito. “Cuando yo detecto cualquier cosa, tengo una integración con Vectra AI, que además me va a dar, relacionada con ese incidente, toda la telemetría que está recopilando Vectra AI, lo que puede ser influyente a la hora de determinar de dónde, a dónde o qué es lo que ha pasado. Es esencial para ahorrar tiempo y ahorrar en personas dedicadas a los incidentes de seguridad. Para mí es muy sencillo. Una vez que estéis embarcados en el camino de la parte de Vectra AI, que os sintáis muy cómodos a la hora de simplificar la gestión, simplificar la operación, simplificar esas sinergias o ese automatismo que vamos a necesitar a la hora de tomar acciones. Es muy sencillo, son dos clics, para mí el mejor XDR que hay en el mercado con la mejor tecnología que os puede proveer Vectra AI”, concluyó Benito.
Para finalizar el ciclo de ponencias, Pablo San Emeterio, CEO de Vapasec, explicó cómo los atacantes pueden evadir los sistemas de detección y respuesta en la ciberseguridad y en particular cómo evadir los sistemas EDR (detección y respuesta de endpoints). “El juego entre atacantes y defensores es similar a un juego del gato y el ratón, donde las técnicas para evadir los EDR surgen y luego son contrarrestadas por los sistemas de defensa. Hay diferentes fases de la "kill chain" de ciberseguridad, con énfasis en la explotación y la instalación del malware. Los ataques pueden ocurrir sin necesidad de utilizar exploits y la defensa en profundidad y el uso de diversas soluciones de seguridad son de vital importancia”, dijo San Emeterio. “Algunas técnicas antiguas, como "Process Hollow" y "DLL Injection" permiten ocultar malware en procesos legítimos y comprometer sistemas. La riqueza del API de Microsoft puede ser aprovechada por los atacantes. Ha evolucionado el malware, pasando de ser creado por ego a ser impulsado por motivos económicos y la participación de actores estatales. Por todo ello, es de suma importancia la monitorización y defensa efectiva contra las técnicas de evasión”, concluyó San Emeterio.
Como broche de oro del primer Foro sobre el uso de la Inteligencia Artificial en ciberseguridad en España de Vectra AI, se celebró una mesa redonda compuesta de Eutimio Fernández, Country Manager para la Península Ibérica de Vectra AI como moderador; Aaron Turner, Cloud Security Evangelist de Vectra AI; Julio San José, Managing Director - Digital Transformation & Cybersecurity de Alvarez & Marsal y Pablo San Emeterio, CEO de Vapasec donde debatieron acerca del panorama actual de la ciberseguridad y el uso de Inteligencia Artificial. Se plantearon interrogantes sobre el alcance y las implicaciones de la inteligencia artificial (IA). En general, hubo una postura optimista respecto a la IA por parte de los miembros de la mesa redonda, argumentando que, aunque pueda tener riesgos, no hay motivo para alarmarse. Se criticó la excesiva preocupación y alarmismo en torno a la IA, comparándolo con situaciones anteriores como la informática cuántica. Sin embargo, se mencionó la falta de seguridad y preocupación por la protección de datos en relación con la IA. Se destacó la necesidad de que la IA sea una aliada en el ámbito de la ciberseguridad y la automatización. También se mencionó los potenciales riesgos de la integración de la IA en sistemas que no se comprenden completamente. Los ataques generativos y la utilización de la IA por parte de los "malos" se plantearon como preocupaciones, mientras que se mencionaron casos en los que la IA ha sido útil en la lucha contra el spam. Además, se mencionó la falta de monitorización y detección de ataques en la nube y la necesidad de cambiar el paradigma en la forma en que se construye la tecnología en relación con la nube.
A continuación, la discusión se centró sobre los cambios en la infraestructura tecnológica, especialmente en la transición hacia la computación en la nube. Los participantes expresaron opiniones sobre los conceptos de "on-premise" (también conocido como legacy) y cómo la mentalidad debe cambiar para adaptarse a nuevas formas de gestionar y gobernar la tecnología. Se mencionó que muchas empresas están migrando a la nube sin comprender completamente sus implicaciones. También se habló de la importancia de la IA y su papel como asesor en la cadena de suministro, aunque se enfatizó que no es una solución definitiva. Además, se mencionaron los desafíos geopolíticos relacionados con la fragmentación de Internet y la necesidad de regulación en el campo de la ciberseguridad. La regulación europea se destacó como un enfoque adecuado, aunque se reconoció que la legislación debe adaptarse a las circunstancias cambiantes.
Por la tarde, para los más técnicos tuvo lugar un workshop denominado “Threat hunting Workshop” donde los asistentes pudieron experimentar cómo detectar y proteger sus empresas usando Vectra AI de la mano de Antonio Huertas, Security Engineer de Vectra AI.