A medida que se va imponiendo la nueva realidad de los continuos peligros de la ciberguerra, las organizaciones de todo el mundo se esfuerzan por reforzar sus defensas. La mayoría de los ciberataques se bloquean con medidas preventivas. Sin embargo, los atacantes altamente motivados tienden a encontrar formas de atravesar esas defensas.
Los actores estatales (APT) a veces utilizan su acceso a nuevos exploits de vulnerabilidades (zero-days). Disponen de vastos recursos y pueden realizar ingeniería social o incluso acceder físicamente a sus objetivos. Los grupos de ciberdelincuentes organizados, por su parte, pueden tratar de aprovechar la información privilegiada de sus organizaciones objetivo para organizar sus ataques.
Independientemente del actor de la amenaza, el comportamiento de los atacantes es similar
Cuando un atacante ha conseguido introducirse en el entorno objetivo, es fundamental detectarlo antes de que pueda comprometer todo el sistema en una brecha. Cada ataque comienza con un compromiso inicial, momento en el que el atacante probablemente ha logrado los siguientes objetivos:
- conseguido la capacidad de "vivir de la tierra" en uno o varios dispositivos o servicios del entorno;
- obtuvo acceso a credenciales válidas;
- evadido medidas defensivas como la gestión de identidades, cortafuegos, IDS, software antivirus e incluso soluciones EDR;
- comenzaron a avanzar hacia sus objetivos finales ejecutando su "Cyber Kill Chain".
Dependiendo de la organización objetivo y del atacante en cuestión, el objetivo final puede ser:
- sabotaje de alguna forma;
- espionaje, cifrado y/o exfiltración de datos;
- robar recursos o cometer fraude.
Sin embargo, antes de que el atacante pueda alcanzar este objetivo final, invariablemente -independientemente de sus metas- realiza las siguientes acciones hacia el objetivo:
- garantizar la persistencia en el medio ambiente;
- asegurar una conexión remota (C2) con el entorno;
- realizar reconocimientos;
- escalar los privilegios de acceso;
- avanzar lateralmente hacia los activos/datos de alto valor objetivo.
Obviamente, los atacantes intentan hacer todo lo anterior mientras evaden las defensas y la detección. Pero esas acciones a lo largo de la cadena de muerte crean actividades en toda la red, ya sea una red física, cloud o virtual.
La IA ha demostrado su capacidad para detectar actividades maliciosas a gran escala y en tiempo real.
Aunque las actividades de los atacantes son difíciles de detectar y distinguir de la actividad regular y segura, la inteligencia artificial (IA) ha demostrado ser una buena herramienta para hacerlo, a escala y en tiempo real. Vectra AI lo hace observando la red en busca de patrones de comportamiento de los atacantes, basados tanto en pasos individuales como en la progresión general del ataque. A diferencia de otras soluciones de ciberdefensa, Vectra puede descubrir a los atacantes detectando lo que están haciendo en redes y sistemas, no sólo detectando herramientas, firmas, IOC o anomalías, sino su comportamiento concreto.
Vectra hace esto a través de las redes on-prem y la cloud (IaaS, SaaS y PaaS), aprovechando el aprendizaje automático y la IA patentados y creados específicamente, cubriendo el 97% de las técnicas basadas en la red MITRE ATT@CK.
Si quiere saber más, póngase en contacto con nosotros y le mostraremos cómo lo hacemos y qué puede hacer usted. También podemos ponerle en contacto con alguno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.