Se está produciendo un cambio preocupante en la mentalidad de los profesionales de la seguridad. Los desafíos de hoy tienen poca semejanza con los de mañana y, a medida que los ciberdelincuentes se arman con tecnologías cada vez más sofisticadas y explotan nuevos vectores de ataque, el tiempo favorece al adversario . Que una organización sea atacada ya no se considera una posibilidad remota, es solo una cuestión de ‘cuándo’ sucederá y ‘cómo’. Por ejemplo, este mes de julio, en la brecha de Kaseya , un ataque de ransomware de la cadena de suministro, los piratas informáticos aprovecharon una vulnerabilidad en el software Kaseya VSA contra varios proveedores de servicios administrados y sus clientes. Los atacantes inicialmente pidieron $ 70 millones para la recuperación de los datos descifrados de sus víctimas.
Para agregar a este alto precio, el costo de una infracción exitosa, ya sea que se trate de grandes empresas o agencias gubernamentales, es mucho más que solo financiero . La reputación de cualquier organización objetivo está tan en juego como la seguridad de sus datos. Y cuanto más grande sea la infracción y más notoria sea la víctima, más atención atraerá en los medios de comunicación.
Además, ninguna empresa existe en el vacío. Incluso las empresas que no son un objetivo directo pueden verse enormemente afectadas por las infracciones que se producen en otros lugares de la cadena de valor más amplia, lo que afecta negativamente a las importantes relaciones de la organización vulnerada.
¿Cómo resuelves el problema de la contextualización?
Los ataques a la cadena de suministro a gran escala llegaron para quedarse, ya que estos ataques brindan a los malos actores un menú literal de empresas para elegir entre los proveedores de una organización, muchos de los cuales tienen controles de seguridad mucho menos sofisticados. Esta es una de las razones por las que puede ser tan difícil detectar y prevenir amenazas; sin embargo, comprender el contexto de una amenaza o un incidente es vital para tener la capacidad de remediar los efectos de un ataque y evitar que sucedan en el futuro.
Si bien hay varias preguntas que deben responderse para descubrir la naturaleza de un ataque, ¿cómo ocurrió esto? ¿Por qué tuvo éxito? – la investigación de un incidente normalmente comienza al final o en el punto final. El dispositivo que un hacker exitoso ha utilizado como puerta a una red puede iniciar un proceso de análisis de enlaces, donde se conectan actividades aisladas para construir una visión holística del incidente como un todo.
El problema para los profesionales de la seguridad es que las herramientas heredadas de Endpoint Detection Response (EDR) presentan una imagen extremadamente compleja debido a la abrumadora cantidad de datos de la amplia gama de endpoints. El EDR robusto es indiscutiblemente útil para una investigación exhaustiva, pero con la cantidad de datos que proporcionan estas herramientas en la actualidad, se vuelve demasiado ruidoso para alertar o descubrir comportamientos inusuales e indicadores estáticos de compromiso que podrían apuntar a un ataque de día cero.
El resultado final es que los analistas se enfrentan a una gran cantidad de datos para examinar, mientras están constantemente sobrecargados con largas colas de incidentes, lo que les deja poco tiempo para realizar análisis proactivos y tomar medidas preventivas. Confiar en un enfoque impulsado por humanos significa entregar la ventaja a los ciberdelincuentes en todo momento.
Los ataques complejos requieren una defensa inteligente
Para prevenir realmente los incidentes, las organizaciones necesitan la capacidad de detener las infracciones antes de que ocurran. Sin embargo, es casi imposible monitorear manualmente cada uno de los puntos finales. Los actores de amenazas aprovechan el poder de la automatización para perfeccionar sus tácticas. Las empresas deben seguir su ejemplo para tener alguna posibilidad de mantenerse al día con los vectores de ataque emergentes, como el ataque SolarWinds SUNBURST basado en la cadena de suministro .
Este ataque, que se dirigió a numerosas industrias de todo el mundo desde su activación a principios de 2020, no fue una simple vulnerabilidad del sistema. Consistió en una complicada serie de acciones en las que la infección inicial fue simplemente la primera etapa. Con un ataque de ransomware tan sofisticado, la inteligencia artificial y la automatización son la única forma de neutralizar la gama completa de amenazas de la variedad de vectores de ataque involucrados.
Usando IA para cubrir todas las bases
Puede tomar solo unos segundos romper las defensas de una organización. La IA puede trabajar para detectar, responder y remediar amenazas e incidentes de inmediato, utilizando grandes cantidades de datos para generar alertas priorizadas de alta calidad cada vez que se observa un comportamiento de amenaza.
Esta inteligencia enriquecida en torno al contexto de un ataque se entrega a través del modelado de amenazas en tiempo real, la correlación de incidentes y el análisis de tácticas, técnicas y procedimientos (TTP). Todos los puntos de datos de una organización se pueden contextualizar en un único hilo de acción, lo que brinda a los profesionales de seguridad la clave no solo para detectar amenazas, sino también para prevenirlas de manera integral a escala, antes de que tengan éxito.
Esto convierte un proceso de clasificación de alertas manual en uno con un agente autónomo impulsado por IA que funciona como un analista de SOC en todos y cada uno de los puntos finales. Además, el uso de IA democratiza la respuesta de una organización a las amenazas, donde todos, desde analistas de SOC hasta equipos de seguridad novatos, pueden remediar automáticamente las amenazas y defenderse incluso de los ataques más sofisticados.
Combinando prevención y remediación para una protección personalizada integral
Las tecnologías avanzadas que automatizan la respuesta a amenazas ayudan a las organizaciones a trascender finalmente la carrera armamentista en la que se ha convertido la ciberseguridad y a adoptar un enfoque proactivo para prevenir incidentes, en lugar de simplemente reaccionar ante las infracciones que ya han ocurrido.
Además, los analistas pueden mantener un control total sobre los procesos de respuesta mediante la configuración de reglas de detección personalizadas que abordan amenazas nuevas o específicas, como las que se dirigen a industrias específicas, y desencadenan respuestas apropiadas y predeterminadas según el nivel o tipo de amenaza. La incorporación de la lógica de detección personalizada combina capacidades humanas y de inteligencia artificial para eliminar procesos no deseados, como desconectar un punto final de la red o alertar sobre los procesos de mayor prioridad para que los analistas los investiguen.
Muchas empresas que pudieron frustrar el ataque de Solarwinds emplearon este tipo de defensa cibernética. Al aprovechar la inteligencia artificial autónoma, estas organizaciones pudieron aplicar defensas robustas contra la manipulación e inexpugnables en cada punto de ataque, dejándolos ilesos en este intento de ransomware avanzado.
Fundamentalmente, en el caso de que una empresa se vea afectada por el ransomware, la incorporación de la automatización en una estrategia de seguridad cibernética puede incluso afectar las capacidades de remediación. La reparación puede ocurrir en tiempo real junto con la detección y la respuesta, como por ejemplo, en caso de una infracción exitosa, realizando una reversión del sistema a un punto antes de que ocurriera el ataque.
Usar la IA para mejorar, no reemplazar, las capacidades humanas
La revolución industrial de la seguridad cibernética que está ocurriendo en este momento se ha debido necesariamente al reconocimiento de que un enfoque impulsado por humanos ya no es adecuado contra la escala y la sofisticación de los ataques modernos a la cadena de suministro. Aquellas organizaciones que se toman en serio la implementación de tecnologías avanzadas para resolver este problema saldrán adelante en términos de seguridad cibernética mientras caen al final de las listas de posibles objetivos de los piratas informáticos.
Nunca habrá una respuesta global a la seguridad de TI, pero una solución basada en la IA puede bloquear de manera proactiva las amenazas antes de que puedan violar las defensas y activar automáticamente las capacidades de respuesta y corrección, todo a través de una única plataforma XDR en tiempo real, antes de que se sienten los efectos de un ataque. A través de esta ‘plataforma todo en uno’, la gestión de alertas se automatiza en toda la pila de tecnología de una empresa, desde los puntos finales hasta el IoT y la nube.
Mientras tanto, esta IA y automatización trabaja para reducir la carga sobre los profesionales de la seguridad y les da tiempo para realizar análisis de amenazas más importantes y complejos. De esta manera, los seres humanos y la inteligencia artificial pueden trabajar juntos para ofrecer una defensa robusta y sobrehumana.
FUENTE:
Editor’s Choice. (2021r, octubre 13). Combatting supply chain ransomware: it’s time for superhuman cyber security. Recuperado 13 de octubre de 2021, de https://www.information-age.com/combatting-supply-chain-ransomware-its-time-for-superhuman-cyber-security-123497235/