22 noviembre 2022

Las amenazas desconocidas se eliminan con la Inteligencia de Señales de Ataques

 Ricardo Hernández, Country Manager de España y Portugal de Vectra AI nos explica cómo acabar con el mayor riesgo de ciberseguridad hoy en día.

 

Según una encuesta global de Vectra AI, el 70% de los profesionales de la seguridad en España "creen que pueden haber sido vulnerados, pero no lo saben". Dicho de otro modo, casi tres cuartas partes de los equipos de seguridad no saben dónde están comprometidos. A esto lo llamamos la amenaza desconocida, y ha ido ganando fuerza en los últimos dos años, dado el rápido cambio a servicios, almacenamiento, aplicaciones e identidad en la nube híbrida. Las amenazas desconocidas, ya estén basadas en la nube, la toma de cuentas o los ataques a la cadena de suministro, simplemente tienen más formas de infiltrarse y moverse lateralmente dentro de la organización, por lo que creemos que la amenaza desconocida es el mayor riesgo de ciberseguridad hoy en día.

Lo vemos en el informe de IBM “
Cost of a Data Breach 2022”, donde casi la mitad (45%) de las filtraciones se basan en la nube. También lo vemos en el informe de Verizon “2022 Data Breach Investigations, en el que se constata que casi la mitad de las violaciones de datos tienen su origen en el robo de credenciales. Además, Verizon descubrió que las amenazas avanzadas persistentes (APT) que atacan las cadenas de suministro representan el 62% de los incidentes de intrusión de sistemas.

Entonces, ¿por qué las organizaciones son más susceptibles a las amenazas desconocidas? Creemos que se reduce a tres cosas, en cuyo centro está la espiral viciosa de tratar de abordar más con "más".

  • Una mayor exposición de la superficie de ataque significa más herramientas, lo que significa más complejidad.
  • Más atacantes esquivos significan más reglas, y por lo tanto más alertas y más ajustes.
  • Más reglas de alerta que ajustar y mantener significan más analistas, más trabajo y más agotamiento.

Lo que resulta desalentador es que la industria de la seguridad siga intentando combatir más con más, pero está claro que esa no es la respuesta. Más no elimina lo desconocido. Lo alimenta.  Más es la causa del problema de confianza al que se enfrentan los responsables de la seguridad. 

Romper con la espiral del "más"

Dos factores impulsan la espiral del "más"

El primero es estructural en la industria de la seguridad: demasiados productos puntuales para la detección y respuesta a las amenazas. La única solución práctica para esto son las plataformas de detección y respuesta a amenazas que tienen una amplia cobertura de la superficie de ataque, y pueden unificar y simplificar de forma nativa.

El segundo es el lenguaje que las herramientas de detección aún comunes utilizan para hacer la detección - sobre todo el IDS (sistema de detección de intrusiones) y el SIEM (sistema de gestión de eventos e información de seguridad). Esto se deriva de un enfoque de décadas en la construcción de capacidades de inteligencia de amenazas para comunicarse rápidamente y encontrar IoCs (Indicadores de Compromiso) conocidos como dominios C2, hashes de archivos, nombres de procesos maliciosos, claves de registro, regex en paquetes, etc. Los lenguajes de reglas de detección se optimizaron de forma natural para encontrar estos IoCs conocidos.

Hoy en día, el panorama ha cambiado, y estos enfoques no pueden seguir el ritmo:

  • Las amenazas modernas se mueven demasiado rápido, dejando a los defensores constantemente persiguiendo la última vulnerabilidad o dominio.
  • Los métodos de los atacantes modernos desafían la caracterización mediante firmas y reglas simples.
  • Las amenazas modernas y evasivas sortean la prevención y pasan desapercibidas durante meses.

Un ejemplo sencillo es encontrar a un atacante que está utilizando una credencial de administrador robada para moverse lateralmente con un protocolo de administración de Windows. Si tiene los datos adecuados, las reglas y las firmas pueden indicarle cada vez que se utiliza una credencial de administrador con las herramientas de administración de Windows utilizadas para ejecutar código de forma remota. La actividad de ataque potencial quedará enterrada en las alertas de cada administrador que haga su trabajo. Ahora comienzan los intentos de afinar esta regla - y nunca terminarán - tal vez la regla sea efectiva, tal vez no. Esta es una receta para más puntos ciegos y más agotamiento. Una receta para que el compromiso desconocido gane.

Los buenos modelos de ML/AI son la única forma de salir de este círculo vicioso

Durante más de una década, Vectra AI ha estado investigando, patentando, desarrollando y siendo pionera en la Inteligencia Artificial de Seguridad centrada en eliminar lo desconocido y no hacerlo con más, sino hacerlo con menos. La premisa central de la IA de Seguridad de Vectra no se centra en recopilar más datos, sino en recopilar y analizar los datos adecuados de la forma correcta.

Recoger los datos correctos y analizarlos de forma adecuada permite a los equipos de seguridad hacer más con menos herramientas, menos trabajo y en menos tiempo. En Vectra, creemos que para acabar con la amenaza desconocida, la IA/ML debe armar a los equipos de seguridad para que hagan 3 cosas sencillas de forma eficaz y eficiente:

  • Pensar como un atacante para ir más allá de las firmas y las anomalías para comprender el comportamiento de los atacantes y concentrarse en las TTPs (Tácticas, Técnicas y Procedimientos) de los atacantes a lo largo de la cadena del ciberataque.
  • Conocer lo que es malicioso analizando los patrones de detección exclusivos de su entorno para sacar a la luz los eventos relevantes y reducir el ruido.
  • Centrarse en lo urgente con una visión de las amenazas por gravedad e impacto que permite a los analistas centrarse en responder a las amenazas críticas y reducir el riesgo empresarial.

 

Emplee la Inteligencia de Señales de Ataques

 

La única necesidad de "más" seguridad, es más Inteligencia de Señales de Ataques

 

La Inteligencia de Señales de Ataques es para lo desconocido lo que la Inteligencia de Amenazas es para lo conocido. A diferencia de otros enfoques de "IA" que buscan simples anomalías para indicar a los equipos de seguridad lo que es diferente, la Inteligencia de Señales de Ataques de Vectra indica a los equipos de seguridad lo que es importante. 

Para ello, supervisamos continuamente el uso de los métodos de los atacantes con un conjunto de modelos programados con un conocimiento de las TTPs de los atacantes (piense en MITRE ATT&CK) y la capacidad de aprender su entorno único. A continuación, pasamos los resultados por otra capa de IA que combina la comprensión de su entorno en conjunto, con los modelos de amenazas y la inteligencia de amenazas humanas, para sacar a la luz automáticamente las amenazas más importantes para su empresa. El resultado es que nuestros clientes son un 85% más eficientes en la identificación de amenazas reales y logran una productividad de las operaciones de seguridad >2 veces mayor.

Si la inteligencia de amenazas da a la seguridad la confianza para mitigar lo que se conoce, la inteligencia de señales de ataques da a la seguridad la confianza para mitigar lo que antes era desconocido. Aprovechando la Inteligencia de Señales de Ataques patentada por Vectra, los equipos de seguridad están capacitados para eliminar lo desconocido, contrarrestar a los atacantes y hacer del mundo un lugar más seguro y justo.

Acerca de Vectra AI

Vectra® es líder en detección y respuesta frente a ciberamenazas en la nube híbrida basada en Inteligencia Artificial (IA) de Seguridad. Sólo Vectra optimiza la IA para detectar los métodos de los atacantes -las Tácticas, Técnicas y Procedimientos (TTPs) que están en el centro de todos los ataques- en lugar de alertar de forma simplista sobre lo "diferente". La señal de amenaza de alta fidelidad resultante y el contexto claro permiten a los equipos de seguridad responder a las amenazas más temprano y detener más rápidamente los ataques antes de que se conviertan en brechas. La plataforma y los servicios de Vectra cubren la nube pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como en la nube. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la toma de identidades y otros ciberataques que afectan a su organización. 

No hay comentarios:

Publicar un comentario