La amenaza de un malware cada vez más sofisticado provoca un incremento de la inversión en IA y aprendizaje automático para prevenirlo
El malware o software malicioso es cada vez más sofisticado. Según las últimas noticias los ciberdelincuentes han comenzado a utilizar servicios de computación en la nube (Cloud) y técnicas de cifrado como método para evitar la detección de su origen y dirección (actividad command-and-control).
Para enfrentarse a estas nuevas amenazas los profesionales de seguridad están apostando por reforzar la inversión en herramientas de defensa basadas en Inteligencia Artificial (AI) y aprendizaje automático (machine learning), orientadas a reducir el tiempo de respuesta y la capacidad operativa de los atacantes.u
Así se desprende del Informe Anual de Ciberseguridad 2018 de Cisco 2018 Security Capabilities Benchmark, basado en un estudio realizado con 3.600 directores de seguridad (CISOs, Chief Information Security Officers), según el cual está aumentando el número de los que afirman estar ya utilizando o considerando utilizar herramientas como IA y aprendizaje automático, a pesar de quejarse del número de falsos positivos que aún generan dichos sistemas. En concreto, el 39% de las organizaciones se apoyan en automación, el 34% en machine learning y el 32% utilizan IA ampliamentei
Y aunque estas tecnologías están todavía en sus primeras etapas de desarrollo, se prevé que madurarán con el tiempo y aprenderán a detectar la actividad “normal” en los entornos de red que están monitorizando. Por ejemplo, utilizar tecnología de aprendizaje automático puede ayudar a reforzar las defensas de seguridad de red, “aprendiendo” a lo largo del tiempo cómo detectar de forma automática patrones inusuales en entornos de tráfico web cifrado, Cloud, e IoT (Internet of Things).
Por otra parte, aunque el cifrado de la información pretende reforzar la seguridad, el creciente volumen de tráfico web cifrado (50 por ciento en octubre de 2017) — tanto legítimo como malicioso— genera una mayor dificultad para los defensores a la hora de identificar y monitorizar las amenazas potenciales. En concreto, los investigadores de ciberamenazas de Cisco han detectado que las muestras de malware inspeccionadas en un período de análisis de 12 meses han multiplicado por más de tres el uso de comunicaciones de red cifradas.
El coste económico o de los ataques no es hipotético
Según los directivos encuestados, más de la mitad de todos los ciberataques tuvieron un coste económico superior a los 500.000 dólares, incluyendo -pero sin limitarse a- la pérdida de ingresos, de clientes, de oportunidades de negocio, así como la generación de gastos extra.
Los ataques a la cadena de suministro aumentan en términos de velocidad y complejidad
Estos ataques pueden afectar a los ordenadores a gran escala, y persistir durante meses o incluso años. En concreto durante 2017 dos ataques de este tipo --Nyetya y Ccleaner-- infectaron a los usuarios atacando software fiable.
Por tanto, los defensores deberían ser conscientes del riesgo potencial de utilizar software o hardware de organizaciones que no parecen tener una estrategia de seguridad responsable y comprobar la eficacia de las tecnologías de seguridad de terceros para ayudar a reducir el riesgo de los ataques a la cadena de suministro.
El aumento de las vulnerabilidades hace que la seguridad sea cada vez más compleja
Según el informe, los defensores están implementando una compleja combinación de soluciones de múltiples proveedores para protegerse frente a las vulnerabilidades. En 2017, el 25% de los profesionales de seguridad afirmaron estar utilizando soluciones de entre 11 y 20 proveedores, frente al 18% en 2016.
Esta mayor complejidad, junto al aumento de vulnerabilidades, reduce la capacidad de defensa de las organizaciones incluyendo mayor riesgo de pérdidas económicas. Por ejemplo, los profesionales de seguridad admitieron que el 32% de las vulnerabilidades afectaron a más de la mitad de sus sistemas (15% en 2016).
En paralelo, los profesionales encuestados refrendan el valor de las herramientas de análisis de comportamiento para localizar a los ciberdelincuentes en las redes. Así el 92% de los consultados afirmaron que las herramientas de análisis de comportamiento funcionan adecuadamente. Por otra parte, dos tercios de los encuestados en el sector de atención sanitaria -seguido por servicios financieros- destacaron que estas herramientas funcionan realmente bien para identificar a los ciberdelincuentes.
La computación en la nube es más segura, pero los atacantes se aprovechan de la falta de seguridad avanzada
En el estudio de este año, el 27% de los responsables de seguridad confirmaron estar usando sistemas de computación en la nube o cloudsprivados externos (off-premise), frente al 20% en 2016. Entre ellos, el 57% albergan redes en la nube por la mejor seguridad de datos; el 48%, debido a su escalabilidad; y el 46% por su facilidad de uso.
Y aunque la nube ofrece una mejor seguridad de datos, los atacantes aprovechan el hecho de que los equipos de seguridad tienen dificultades para defender sus cambiantes y crecientes entornos. Sin embargo, la combinación de mejores prácticas, tecnologías avanzadas de seguridad como machine learning, y herramientas de primera línea de defensa como las plataformas de seguridad, pueden ayudar a proteger este entorno.
Aumenta el Tiempo de Detección (TTD) de los ataques
El factor tiempo de respuesta frente a un ciber ataque es un elemento fundamental para atajar sus efectos. En este sentido Cisco ha anunciado que su tiempo medio de detección de nuevas (Time to Detection, TTD) se ha reducido hasta cerca de 4,6 horas para el período de entre noviembre de 2016 y octubre de 2017, desde las 39 horas registradas en noviembre de 2015 y las 14 horas alcanzadas entre noviembre de 2015 y octubre de 2016.
Según esta compañía, el uso de tecnología de seguridad basada en la nube ha sido un factor clave para permitirle alcanzar y mantener este TTD medio en un valor tan bajo.
Hay que seguir reforzando la cultura de seguridad
Como conclusión, el informe realiza una serie de recomendaciones para mantener un nivel de seguridad elevado en las organizaciones.
Ente ellas destaca confirmar que se aplican las prácticas y políticas corporativas para el parcheo de aplicaciones, sistemas y dispositivos; acceder a tiempo a datos precisos y procesos de inteligencia frente a amenazas que permiten incorporar dichos datos en la monitorización de laseguridad; utilizar herramientas analíticas avanzadas en mayor medida, hacer copias de seguridad o back-up de datos lo más a menudo posible y probar el funcionamiento de los procesos de restauración, esenciales ante un panorama donde proliferan el ransomware basado en red (mecanismo tipo gusano) y ciberamenazas más destructivas y analizar la seguridad de entornos de microservicios, servicios en la nube y sistemas de administración de aplicaciones.
Fuente: Boltin CISS. Wolters Kluwer - REAF-REGAF