Los CISO no necesitan otro titular que les diga que la seguridad se ha vuelto más difícil. Ya lo es. Su entorno cambia constantemente. Los sistemas van y vienen. Las identidades, sobre todo las no humanas, no dejan de crecer. La actividad avanza más rápido de lo que los equipos pueden seguirle el ritmo. E incluso con las herramientas adecuadas, no siempre queda claro qué está pasando realmente en un momento dado.
Así pues, cuando surge algo como Claude Mythos, la cuestión no es si resulta interesante o importante. Es algo más práctico que eso: ¿cambia esto lo que tengo que tener en cuenta mañana por la mañana? Ahí es donde empieza la conversación.
Para comprender las preguntas que se plantean los CISO sobre Claude Mythos y el Proyecto Glasswing, me reuní con Vectra AI , Vectra AI , Oliver Tavakoli, y Marty Roesch —creador de SNORT, fundador de Sourcefire y Netography, y que ahora ocupa el cargo Head of Cloud Vectra AI.
«¿Nos hace Claude Mythos sentir menos seguros?»
Hitesh Sheth, director ejecutivo
Hitesh suele alejarse de los titulares y analizar el sistema en su conjunto.
La empresa no se volvió compleja de repente por culpa de Claude Mythos. Ya lo era. Lo que hoy llamamos la empresa moderna está siempre activa, siempre conectada y en constante cambio. Las cargas de trabajo se desplazan. Las identidades se autentican en todos los sistemas. Los datos fluyen continuamente entre entornos.
La seguridad, por otro lado, se diseñó en gran medida para un modelo diferente: uno en el que los entornos eran más estables, los límites estaban más claros y había tiempo para resolver las cosas. Esa falta de adecuación es el verdadero problema.
Claude Mythos no introduce una nueva categoría de riesgo, sino que acelera algo que ya estaba ocurriendo. Reduce el esfuerzo necesario para detectar vulnerabilidades y actuar en consecuencia. Acorta los plazos. Proporciona más rapidez a los atacantes, pero no cambia de forma fundamental su modo de operar.
Siguen iniciando sesión. Siguen utilizando accesos válidos. Siguen moviéndose por los sistemas de una forma que parece normal si se observa de forma aislada. Por eso, el mayor problema para la mayoría de los equipos no es la prevención, sino la comprensión. No se trata de si algo podría ocurrir, sino de si está ocurriendo.
Y ahí es donde los CISO suelen sentirse más presionados. Se espera que respondan a preguntas que parecen sencillas, pero que en la práctica resultan difíciles:
- ¿Quiénes o qué hay en nuestra red?
- ¿Estamos expuestos a un ataque en este momento?
- ¿Funcionarán las medidas de control que hemos establecido?
El problema no es la falta de datos. Es la falta de respuestas claras y oportunas. Desde ese punto de vista, Claude Mythos no plantea un nuevo problema. Simplemente hace que sea más difícil ignorar uno que ya existe.
«¿Podemos solucionar el problema de Claude Mythos aplicando parches más rápido?»
Oliver Tavakoli, director técnico
Esta suele ser la siguiente pregunta, y la respuesta de Oliver es clara. Pero no es lo que la mayoría de la gente espera.
Si lo que muestra Claude Mythos es siquiera aproximadamente cierto, debemos suponer que gran parte del software del que dependemos es más vulnerable de lo que pensábamos. No porque estuviera mal diseñado, sino porque algunas fallas eran simplemente difíciles de detectar y explotar, y ahora es más fácil hacerlo.
El verdadero cambio radica en la velocidad y la escala. Las vulnerabilidades que antes podían tardar meses o años en descubrirse ahora pueden identificarse mucho más rápido. Y una vez detectadas, convertirlas en exploits funcionales ya no es un proceso largo que requiera habilidades específicas.
Esto ejerce presión sobre un modelo que ya se encontraba al límite. Las organizaciones están acostumbradas a identificar vulnerabilidades, priorizarlas y aplicar parches a lo largo del tiempo. Pero ese proceso depende de que el volumen sea manejable y los plazos sean razonables. Cuando el volumen aumenta y los plazos se acortan, el modelo deja de funcionar.
Hay limitaciones prácticas que no desaparecen:
- Los sistemas críticos no siempre pueden actualizarse de inmediato
- Las actualizaciones conllevan riesgos operativos
- Los entornos heredados y de tecnología operativa son difíciles de cambiar
- Las dependencias ralentizan todo
Así pues, los equipos se encuentran en una situación conocida, pero incómoda. Saben dónde se encuentran algunos de los riesgos. Saben qué hay que abordar. Pero no pueden solucionarlo todo de una vez, y no pueden permitirse estropear lo que ya funciona. Esto da lugar a un periodo en el que las organizaciones operan con riesgos conocidos, pero sin resolver.
Durante ese tiempo, es probable que sucedan varias cosas al mismo tiempo. Se seguirán descubriendo vulnerabilidades. Se crearán y compartirán exploits con mayor rapidez. Y aumentarán los ataques, incluidos los que tengan éxito.
Al mismo tiempo, no todos los ataques se basan en fallos de software. El uso indebido de identidades, las configuraciones erróneas y la ingeniería social siguen siendo métodos eficaces y, en muchos casos, más sencillos. Por lo tanto, el objetivo no es eliminar todos los riesgos conocidos de inmediato, sino gestionar un periodo en el que el riesgo es mayor y en el que la percepción del riesgo cambia constantemente.
«Si damos por hecho que nos van a marcar, ¿cómo nos defendemos?»
Marty Roesch, Head of Cloud
Aquí es donde cambia el rumbo de la conversación. ¿En qué momento de un ataque deja la prevención de ser una opción?
Hay un momento en el que un ataque pasa de ser algo que quizá puedas bloquear a algo que hay que detectar para poder reaccionar. Antes de ese momento, es posible que detectes el propio exploit. Después, te enfrentas a actividades que se camuflan entre el comportamiento normal. En los entornos actuales, ese momento llega antes de lo que la mayoría de la gente espera.
Las arquitecturas de seguridad suelen partir de la base de que las múltiples capas ofrecen una protección superpuesta. En la práctica, son más secuenciales que redundantes. Cada herramienta detecta una parte diferente del ataque, en un momento distinto. Si se pierde ese momento, no siempre hay otra oportunidad de observar la misma acción. Esa es una de las razones por las que los ataques pueden propagarse por los entornos sin ser detectados durante largos periodos de tiempo. No porque no existan controles, sino porque hay lagunas entre ellos.
Marty opina que el problema no es la falta de telemetría, sino que esta está fragmentada.
Las herramientas de punto final detectan los procesos en los dispositivos gestionados. Los sistemas de identidad registran los eventos de autenticación. Cloud registran la actividad dentro de servicios específicos. Todas ellas son útiles, pero ninguna muestra cómo se interrelaciona la actividad en todo el entorno.
La red es donde realmente se producen los ataques. Estos se desplazan a través de identidades, sistemas y entornos. Cada paso puede parecer legítimo por sí solo. Es la secuencia la que revela lo que ocurre. Por eso Marty siempre vuelve a la red.
La red es uno de los pocos lugares donde todo queda patente. Todos los sistemas, todas las identidades y todas las cargas de trabajo acaban comunicándose a través de ella. Esto la convierte en un punto de observación privilegiado, especialmente para áreas que, de otro modo, serían difíciles de supervisar, como la infraestructura de red o los sistemas no gestionados.
A partir de ahí, el enfoque deja de centrarse en intentar detectar todos los posibles vulnerabilidades para centrarse en comprender el comportamiento. No se trata de lo que se supone que debe hacer un sistema, una identidad o una aplicación, sino de lo que realmente está haciendo.
Existe un patrón en la forma en que se desarrollan los ataques, cómo se obtiene acceso, cómo cambian los privilegios, cómo se producen los movimientos y cómo se accede a los datos y se transfieren. Esos patrones no dependen de una vulnerabilidad concreta, sino que se mantienen en diferentes técnicas. Eso es lo que los hace útiles en un entorno en el que los detalles cambian constantemente.
Poniendo todo en su sitio
Ninguna de estas perspectivas se contradice con las demás. Se complementan entre sí.
- Hitesh parte de la premisa de que la empresa ya es un entorno dinámico y difícil de comprender plenamente en tiempo real.
- Oliver explica cómo la detección de vulnerabilidades basada en la inteligencia artificial aumenta la presión sobre unos sistemas que ya de por sí eran difíciles de mantener y proteger.
- Marty se centra en lo que ocurre cuando la prevención no lo detecta todo, y en cómo debe funcionar la detección en ese caso.
En conjunto, todo ello apunta a una conclusión sencilla: Claude Mythos no introduce una nueva categoría de problemas, sino que agrava todos los ya existentes.
Qué podemos aprender de estas conversaciones
A corto plazo, la situación puede parecer menos estable, no más. Será más fácil detectar vulnerabilidades. Será más fácil crear exploits. Algunos sistemas serán más difíciles de reparar con rapidez. Los ataques seguirán recurriendo a una combinación de técnicas, no solo a fallos de software.
Con el tiempo, es probable que el software mejore. Es posible que algunas de las vulnerabilidades más evidentes desaparezcan. Pero los atacantes se adaptarán, como siempre hacen. Lo que no cambia no es la vulnerabilidad en sí misma, sino la necesidad de comprender lo que ocurre en tu entorno en el momento en que ocurre. Eso es lo que realmente importa, independientemente de cómo evolucione la amenaza. Y esa es la pregunta a la que los CISO vuelven una y otra vez, no solo con Claude Mythos, sino con todo:
¿Sabemos lo que está pasando en nuestra red y en toda nuestra infraestructura en este preciso momento?