A medida que las amenazas cobran protagonismo, es importante plantearse la siguiente pregunta: ¿qué es lo que realmente aporta claridad? Es una pregunta con la que podemos luchar, pero puede que simplemente no la estemos enfocando de la manera correcta.
En esta época, las grandes empresas son noticia por todas las razones equivocadas. Latitude Financial, proveedor de servicios financieros que opera en Australia y Nueva Zelanda, ha dado a conocer los detalles de un ciberataque y una violación de datos que ha afectado a 225.000 de sus clientes.
En esta situación, la visibilidad es fundamental, y la inteligencia artificial (IA) nos proporciona una mayor capacidad para comprender nuestra superficie de ataque y detectar las amenazas con rapidez.
Sacar a la luz lo desconocido para mejorar la seguridad
Consideremos primero las incógnitas. Los dos últimos años han provocado cambios significativos en nuestra forma de trabajar, y estos cambios han dado lugar a una mayor superficie de ataque, más vulnerabilidades y exploits, más herramientas y alertas, y equipos más pequeños y sobrecargados de trabajo. Mientras tanto, los atacantes son más evasivos y más sofisticados en sus métodos de infiltración.
Es cierto que a menudo nuestra superficie de ataque es mucho mayor de lo que suponemos. No es una estadística infrecuente ver sólo el 50% de los activos registrados como puntos finales, con las direcciones IP adicionales de routers, conmutadores, impresoras, cámaras, teléfonos y otros servicios. Estas direcciones IP adicionales podrían ser dispositivos personales en una red de invitados, servicios de computación cloud y cargas de trabajo de contenedores, o incluso servicios de aplicaciones de servidor tradicionales que están ejecutando hosts de actividades que no se están supervisando.
Obtener visibilidad sobre una superficie de ataque significa comprender los vectores de amenaza que se sitúan más allá de lo que usted como empresa posee. Pensemos en el acceso no autorizado. Un término cada vez más común, se refiere al acto de obtener acceso a un sistema informático, red o aplicación sin permiso o autorización expresa - como su nombre indica.
Como se informó recientemente, la unidad indonesia del Commonwealth Bank of Australia se vio gravemente afectada por un incidente que implicaba el acceso no autorizado a una aplicación de software basada en la web utilizada para la gestión de proyectos. Del mismo modo, AT&T acaba de anunciar públicamente que, en enero, una persona no autorizada violó el sistema de un proveedor y accedió a la información de la red propiedad del cliente (CPNI) de la empresa.
Obtener visibilidad y claridad mediante herramientas expertas reduce la carga de los equipos de seguridad y mejora enormemente la capacidad de una organización para comprender las amenazas y remediarlas con rapidez y eficacia.
El papel de la inteligencia artificial en la visibilidad y la seguridad
La IA es una poderosa herramienta para impulsar la claridad de la señal y maximizar el uso de nuestra superficie de ataque, ahora más visible. La IA mejora la claridad de la señal al permitirnos centrarnos en el aspecto conductual de los ataques y considerar todos los posibles puntos de infiltración.
Los atacantes también pueden utilizar la IA o la automatización para acelerar sus ataques, pero esto no cambia intrínsecamente su comportamiento. Siguen teniendo que realizar ciertas acciones para comprometer una red, y estos marcadores de comportamiento son los que podemos detectar.
Muchas organizaciones nos dicen que reciben demasiados falsos positivos de sus herramientas de seguridad y que los equipos de seguridad están inundados de información con la que no saben qué hacer. Aprovechar la IA no consiste en sustituir a un ser humano, sino en hacer que lo que hacemos sea mucho más eficiente y claro.
Respuesta a las amenazas para proteger nuestros sistemas y a las personas
A la hora de responder, debemos saber qué hacer con las alertas de ataque que nos llegan, de lo contrario toda nuestra claridad no sirve para nada.
En primer lugar, determinamos cuál es el ataque y, en segundo lugar, qué hacer al respecto. No puede haber una regla general, debemos ser flexibles, pero podemos crear procedimientos repetibles que incorporen flexibilidad. Métricas como el tiempo medio hasta la reparación pueden mostrar el valor y el beneficio de la IA en términos de resultados y rendimientos reales.
De cara al futuro, esperamos que los CISO y los responsables de seguridad inviertan más en herramientas que mejoren la eficacia y ayuden a los equipos de seguridad a examinar las alertas y descubrir las amenazas en un panorama de ataques amplio y disperso. Las soluciones están ahí, y cada vez son mejores, sólo hay que entender cuáles son y cómo pueden integrarse para obtener el máximo beneficio.
¿Está preparado para responder y borrar la amenaza desconocida?