Si uno se pasea por la Black Hat, una cosa está clara: todo el mundo asegura, protege o defiende algo... con IA.
Y en apariencia, todos parecen iguales.
Para los compradores que intentaban resolver problemas reales, era difícil saber en quién confiar y con quién pasar el tiempo.
Como alguien que se pasa el día investigando el comportamiento de los atacantes y construyendo una lógica de detección, quiero ofrecer una perspectiva diferente. No se trata de ver quién tiene el mejor eslogan o la demostración más llamativa. Se trata de hacer preguntas más agudas, basadas en cómo funcionan realmente los ataques modernos.
La prevención sigue dominando. Pero la prevención por sí sola no funciona.
La mayoría de los mensajes de los proveedores siguen centrándose en mantener alejados a los atacantes, y eso es necesario. Pero las amenazas actuales ya no dependen de los exploits para entrar.
En mi sesión de Black Hat, Cuidado con las brechas de ataquecompartí ejemplos de cómo grupos de amenazas como Scattered Spider, Volt Typhoon y Mango Sandstorm obtienen acceso y escalan silenciosamente su control. Estos atacantes no necesitan malware ni días cero. Se basan en credenciales válidas, tokens de sesión robados o abuso de la federación para mezclarse con la actividad legítima.
El compromiso inicial a menudo comienza con algo que ninguna herramienta de seguridad está capacitada para detener: Un inicio de sesión exitoso.
A partir de ahí, exploran el entorno utilizando herramientas nativas, escalan privilegios a través de rutas de identidad de confianza, persisten utilizando aplicaciones OAuth y exfiltran datos bajo el radar. Sin exploits. Sin binarios. Sólo comportamientos que parecen propios.
Los controles tradicionales no emiten alertas porque la actividad sigue técnicamente las normas. Las credenciales son correctas. Las rutas de acceso están permitidas. Los registros, si no se han borrado ya, cuentan una historia incompleta. La mayoría de las defensas se diseñaron para detectar lo que es extraño u obviamente malicioso, no lo que es válido y está mal utilizado.
En todos los casos reales que estudiamos, existían herramientas de prevención. Pero vigilaban las señales equivocadas.
Porque los ataques de hoy no destacan. Se mezclan.
"Asumir compromisos" debe marcar la forma de evaluar a los proveedores.
Ya habrás oído hablar antes de "asumir el compromiso" (y quizá hayas leído nuestro anterior blog sobre el tema). No es solo un cambio de mentalidad, y debería ser una forma de filtrar a los proveedores cuando todo el mundo en una feria afirma detener los ataques.
No es necesario conocer todos y cada uno de los productos de ciberseguridad del mercado. Hay que entender cómo se comportan los atacantes y preguntar a los proveedores cómo detectan y responden a ese comportamiento:
- ¿Qué detecta su solución tras el acceso inicial?
- ¿Cómo se identifica el movimiento lateral si las credenciales son válidas?
- ¿Qué ocurre si se secuestra el testigo de sesión de un usuario en una aplicación SaaS?
- ¿Puede su producto detectar comportamientos en las capas de cloud, identidad y red, o sólo en una?
- ¿Qué capacidades de detección y respuesta ofrecen cuando desaparecen los registros?
Si la respuesta suena como más ruido de alerta, o la solución depende enteramente de la prevención y los registros, ya tienes tu respuesta. Usted no está hablando con alguien que pueda ayudar cuando el compromiso ya ha ocurrido.
Lo que necesita después del compromiso (y cómo detectarlo)
Cuando se produce un ataque, y se producirá, el factor diferenciador clave es la visibilidad. No la visibilidad de la telemetría en bruto, sino la visibilidad del comportamiento de los atacantes, unida en todos los entornos. Busque soluciones que puedan:
- Detectar actividad sin depender de agentes o registros
- Identificar comportamientos como el reconocimiento, el abuso de credenciales y la persistencia .
- Correlacionar lo que ocurre en la identidad, la red y la cloud
- Proporcionar un triaje que reduzca el ruido, no que lo aumente
- Mostrar la ruta completa del ataque, no sólo eventos aislados
Son capacidades que no se pueden fingir. Las verá en una demostración. Las sentirá en la forma en que el producto explica lo que ocurre durante un incidente. Y verá la diferencia entre un sistema que muestra la telemetría y una plataforma que muestra la intención.
No se trata de si. Se trata de lo que viene después.
La mayoría de los proveedores siguen vendiéndole la esperanza de que evitará la brecha. Pero los atacantes ya no intentan entrar. Están entrando. Se aprovechan de la confianza. Ya están dentro.
Lo que importa ahora no es si los detuvo en la puerta, sino si ve lo que hacen una vez dentro.
Esa es la pregunta que todo comprador debería hacerse.
Si tiene curiosidad por saber cómo se desarrollan las amenazas modernas y cómo la detección basada en el comportamiento real saca a la luz lo que las herramientas de prevención pasan por alto, hemos creado una experiencia autoguiada que puede explorar en cuestión de minutos. Sin formularios. Sin llamadas. Sólo una visión clara de cómo es realmente la detección eficaz de amenazas.