A mediados de la década de 2000, tuve la suerte de recibir una invitación para unirme a uno de los principales grupos de investigación sobre ciberseguridad del Gobierno de Estados Unidos en el Laboratorio Nacional de Idaho (INL) del Departamento de Energía. Mientras estuve allí, tuve oportunidades únicas de colaborar con una gran variedad de expertos en ciberseguridad de los servicios de inteligencia, el ejército y el sector privado. Algunos de mis mejores recuerdos del tiempo que pasé en el INL fueron los talleres de transferencia de conocimientos que organizamos.
Invitamos a un grupo de soldados de operaciones especiales del ejército estadounidense a recibir formación sobre ciberseguridad y técnicas forenses. La formación incluía cómo ayudar a las tropas en lugares hostiles a proteger sus sistemas digitales, minimizar las huellas electrónicas, cómo reconocer sistemas enemigos valiosos, confiscarlos de forma segura y llevarlos a expertos para analizar el contenido de esos dispositivos.
El ruido de las alertas de seguridad: todo es una gran distracción.
Durante una de las sesiones, estuve hablando con un oficial de las fuerzas especiales y le pregunté cuáles eran las tres claves principales para llevar a cabo una operación con éxito. Las dos primeras respuestas eran típicas: tener un buen equipo y asegurarse de que el material es el mejor posible, pero la tercera me sorprendió. Dijo con su acento sureño: "lleva siempre una bolsa de alimañas muertas".
Ahora bien, para quienes no sean angloparlantes nativos y no estén familiarizados con los dialectos rurales de Estados Unidos, una alimaña suele ser un animal pequeño que a menudo se considera una plaga. Ratones, ratas, sapos, urracas... todos ellos podrían clasificarse fácilmente como "varmint". Me senté y procesé su comentario durante un minuto y luego tuve que preguntar: "¿qué demonios tiene que ver una bolsa de criaturas muertas con el éxito de una misión de operaciones especiales?".
Con un brillo en los ojos, se inclinó hacia delante y bajó la voz como si estuviera compartiendo el secreto más valioso de su oficio y me explicó cómo una bolsa de animalitos muertos era de vital importancia para causar fatiga entre los guardias que protegían el objetivo de su misión. Yo seguía sin entenderlo. Algo exasperado ahora, se echó hacia atrás y dijo: "si tienes un guardia que tiene que responder a cada alerta que emite un sensor de movimiento, se cansa de responder". Y continuó:
"Digamos que una instalación de alta seguridad tiene una valla eléctrica y sensores de movimiento, tiras una rata muerta a la valla, salta la alarma, el soldado sale, ve la rata muerta, sacude la cabeza y vuelve a su puesto. Luego, unos minutos u horas más tarde, tiras otro animal a la valla, el guardia sale, mira al animal muerto, sacude la cabeza y vuelve a su puesto de vigilancia. Un poco más tarde sacas otra alimaña de tu saco y vuelves a lanzarla contra el mismo lugar. La mayoría de los guardias de nivel inferior se van a cansar de ver esencialmente falsas alarmas y, a la tercera o cuarta vez, no van a volver a salir a buscar. Una vez que hayas percibido que los guardias están fatigados, entonces ejecuta el ataque real contra ese mismo lugar donde has estado lanzando animales muertos. A veces puedes conseguir hasta 10 minutos de ventaja sobre los guardias porque no responderán a otra alarma en ese lugar, y esos 10 minutos pueden significar la diferencia entre el éxito y el fracaso de la misión".
Tras esta explicación, comprendí por qué este operador especial daba prioridad a su bolsa de animales muertos. Inmediatamente pensé en el papel de un analista de un Centro de Operaciones de Seguridad (SOC) y en cómo afecta el cansancio a su respuesta a las alertas y alarmas. Una vez que un analista ha respondido varias veces a lo que se percibe como una falsa alarma, suele crear secuencias de comandos para automatizar la pérdida de prioridad o la reclasificación de esas alertas. Los ciberatacantes sofisticados practicarán tácticas similares, en las que crearán ruido para que un equipo SOC responda, lo que les lleva a un callejón sin salida que les insensibiliza a ciertas alertas. Entonces, ejecutan la operación real una vez que creen que el equipo de ciberseguridad no responderá tan rápida o eficazmente si hubieran ejecutado el hackeo real en primer lugar.
Basta de ruido. Piensa como un atacante.
Vectraestá diseñado para ayudar a los equipos de seguridad a pensar como un atacante, saber qué es malicioso y centrarse en lo urgente. Cuando los equipos de seguridad están fatigados, su percepción de los ataques puede cambiar fundamentalmente la forma en que defienden los sistemas críticos. Gracias a la mejor inteligencia artificial disponible en ciberseguridad, la tecnología de Vectra no se fatiga como lo hacen los analistas humanos. Vectra La tecnología de puede realizar análisis rápidos de metadatos para determinar el contexto de una falsa alarma a partir de los artefactos asociados a un ataque real. Esta capacidad para amplificar las señales asociadas a ataques reales y amortiguar el ruido que distrae a los equipos de los SOC es lo que diferencia a Vectra de todas las demás plataformas de ciberseguridad.
A medida que las organizaciones se han embarcado en su viaje a la cloud, con la transición de muchas partes de su infraestructura tecnológica más allá de los controles de seguridad tradicionales centrados en el centro de datos, han aumentado exponencialmente su superficie de ataque. A menudo, este aumento de la complejidad hace que sea casi imposible para un ser humano percibir todas las nuevas rutas de ataque que se han creado dentro de la complejidad de un entorno híbrido. Muy pocas organizaciones se convertirán alguna vez en nativas de cloud con toda su infraestructura de TI, y en un mundo siempre híbrido, sólo Vectra proporciona a los equipos de seguridad la capacidad de detectar y responder a través de cloud, SaaS, proveedores de identidad y sistemas locales para reducir el ruido de las alertas, amplificar la eficiencia de la detección, investigar y responder a los ataques antes de que se conviertan en brechas.
Vectra proporciona una cobertura completa de la superficie de ataque, claridad de la señal y control inteligente para facilitar la caza de amenazas y la investigación de formas que las soluciones puntuales no pueden ofrecer. Cuando pienso en mi viaje de varias décadas a través de diferentes funciones en la comunidad de la ciberseguridad, la visión de Vectra sobre cómo abordar el aumento de la percepción humana de los ciberataques con el aprendizaje automático es única, y una de las pocas que me ha dado esperanzas de que los defensores puedan ir por delante de los atacantes. A medida que desarrollamos las capacidades únicas de IA de Vectra, el equipo de Vectra también está desarrollando capacidades únicas para ayudar a priorizar la gestión de la superficie de ataque a través de la automatización y el aprendizaje automático para reducir el tiempo que las configuraciones erróneas pueden dejar a las organizaciones vulnerables a los ataques, disminuyendo aún más la probabilidad de una brecha.
Estoy orgulloso de formar parte del equipo de Vectra para ayudar a hacer realidad esta visión. Con la Attack Signal Intelligence basada en IA, Vectra puede ayudar a los defensores a reducir el ruido de distracción y ayudarles a centrarse en los ataques que importan a un ritmo mucho más rápido que cualquier otra plataforma de seguridad en el mercado hoy en día.
Vea cómo Vectra Attack Signal Intelligence capacita a los equipos de seguridad que utilizan la plataforma Vectra Threat Detection and Response.