.jpeg){kind=logo}
Últimamente, he mantenido numerosas conversaciones con responsables de ciberseguridad sobre un concepto que he venido utilizando y que denomino «horizonte de eventos de seguridad». La idea básica es que el concepto de «defensa en profundidad» en el ámbito de la seguridad es un término erróneo. Las tecnologías de seguridad rara vez se solapan en cuanto al tipo de herramientas de ataque o comportamientos a los que se aplican y, por lo general, solo existe un único control o tecnología de seguridad entre el momento en que un atacante lanza un intento de intrusión y el momento en que lo lleva a cabo. La prevención sigue siendo importante, pero hay un punto en el ciclo de vida del ataque en el que el enfoque orientado a la prevención deja de ser un modelo relevante, y la detección, el contexto y la respuesta se convierten en lo más importante.
Puede que esto resulte obvio para quienes llevan mucho tiempo trabajando en operaciones de seguridad, pero creo que vale la pena dejarlo claro, ya que gran parte del sector de la seguridad sigue abordando el problema como si la combinación adecuada de controles preventivos pudiera convertir las brechas de seguridad en algo excepcional. En entornos reales, las cosas no funcionan así.
¿Por qué se dice que el término «defensa en profundidad» es un nombre poco apropiado?
Las empresas modernas son demasiado grandes, están demasiado dispersas y son demasiado dinámicas como para que esa suposición se mantenga. Gestionan amplios entornos de cloud , aplicaciones SaaS, parques de dispositivos finales, sistemas de identidades, API, servicios de terceros, aplicaciones heredadas y sistemas críticos para el negocio a los que resulta difícil o imposible aplicar parches en un plazo de tiempo realista. Incluso las organizaciones bien gestionadas tienen activos desconocidos, servicios expuestos, desviaciones en la configuración, identidades con permisos excesivos y sistemas que no pueden parchearse en el momento en que la corrección está disponible.
Es evidente que la prevención sigue siendo necesaria. La aplicación de parches, el refuerzo de la seguridad, la segmentación, los controles de identidad, la configuración segura, la seguridad del correo electrónico, la prevención en los puntos finales y la gestión de vulnerabilidades reducen las oportunidades de los atacantes. El problema es que la prevención no constituye un modelo operativo completo. A escala empresarial, un cierto porcentaje de los controles preventivos fallará, y la arquitectura de seguridad debe diseñarse teniendo en cuenta esa premisa.
La IA agrava este problema. Los atacantes dispondrán de mejores herramientas para detectar vulnerabilidades, crear variantes de exploits, automatizar el reconocimiento, generar técnicas de ingeniería social convincentes y adaptar su actividad a medida que los defensores respondan. Los defensores también utilizarán la IA, pero la asimetría en cuanto al tiempo es un factor determinante. Es mucho más fácil encontrar una vía de explotación que demostrar que se han eliminado todas las vías de explotación existentes en una gran empresa.
Lecturas recomendadas: ¿Qué le depara el futuro a la empresa tras dos oleadas de GenAI?
¿Por qué el «horizonte de eventos de seguridad»?
Por eso desarrollé el concepto de «Security Event Horizon» y creo que es importante debatirlo.
En este modelo, se distingue entre la detección basada en la causa y la detección basada en el efecto. La detección basada en la causa se centra en lo que inicia o permite el ataque: una vulnerabilidad, un exploit, un archivo malicioso, un comando, un indicador de infraestructura, phishing o una técnica conocida. Es aquí donde se concentra de forma natural gran parte de la lógica de prevención y bloqueo.
La detección basada en efectos se centra en lo que ocurre una vez que el ataque inicial ha tenido éxito. Una vez que el atacante se ha introducido en el entorno, tiene trabajo por delante. Debe autenticarse, enumerar recursos, desplazarse, escalar privilegios, persistir, comunicarse, preparar datos y, finalmente, actuar para alcanzar sus objetivos. Esos comportamientos generan efectos en el entorno. La tarea del defensor consiste en detectar esos efectos, interpretarlos en su contexto y responder antes de que el atacante logre causar impacto.
MITRE ATT&CK es una forma útil de describir esta transición. Las primeras fases de un ataque suelen encajar de forma natural con los controles orientados a la prevención. A medida que el ataque avanza hacia la fase de descubrimiento, acceso a credenciales, movimiento lateral, comando y control, recopilación y exfiltración, el entorno comienza a generar indicios de comportamiento. En ese momento, el problema no radica tanto en si se sabe que un único objeto es malicioso, sino más bien en si una secuencia de actividades tiene sentido.
Los atacantes utilizan cada vez más credenciales legítimas, protocolos legítimos, herramientas administrativas legítimas y cloud legítimos. Gran parte de lo que hacen no parece malicioso si se analiza de forma aislada. Un inicio de sesión puede ser válido. Un comando de PowerShell puede estar permitido. Una conexión entre dos sistemas puede utilizar un protocolo aprobado. Una llamada cloud puede ser sintácticamente correcta. La cuestión es si el comportamiento es coherente con el funcionamiento habitual de ese usuario, host, carga de trabajo o aplicación, y si encaja en un patrón de ataque más amplio.
La detección debe ir más allá de la mera recopilación de alertas. Generar más señales que el analista tenga que clasificar no nos lleva realmente a donde queremos llegar, sino que lo que se necesita en un entorno tras una intrusión es estar en condiciones de comprender la evolución del ataque. Esto tiene algunas implicaciones prácticas.
Comprender cómo se desarrollan los ciberataques
En primer lugar, la prevención no equivale a la eliminación del riesgo, sino que debe considerarse como una reducción del riesgo. Reduce las oportunidades de los atacantes y debe mejorarse continuamente, pero no debe ser el supuesto en el que se base el resto de la arquitectura.
En segundo lugar, la detección debe diseñarse en función de aquellos aspectos del ataque que pueden observarse una vez que ha fallado la prevención. La actividad de red, el comportamiento de las identidades, la actividad cloud , el uso de SaaS, la telemetría de los terminales y el movimiento de datos ofrecen diferentes perspectivas del comportamiento de los atacantes. Ninguno de estos elementos es suficiente por sí solo en una arquitectura de seguridad moderna.
En tercer lugar, el contexto es esencial y tiene tanta importancia como la telemetría. Detectar un incidente no es lo mismo que comprenderlo. Los defensores deben saber qué activo es, a quién pertenece la identidad, cuál es el comportamiento normal, si el sistema está expuesto, qué privilegios están en juego y cómo se relaciona la actividad con otros incidentes en todo el entorno.
Por último, la respuesta debe estar vinculada a la fase del ataque. La respuesta adecuada ante una señal inicial confusa es diferente de la respuesta adecuada ante un movimiento lateral confirmado o una preparación activa de datos. Los equipos de operaciones de seguridad no solo deben saber que ha ocurrido algo, sino también en qué fase del ciclo de vida del ataque se encuentran y, a ser posible, qué es lo que probablemente intente hacer el atacante a continuación.
Este es el objetivo del marco «Security Event Horizon». Se trata de una forma de analizar dónde operan las diferentes tecnologías, qué tipo de señales generan y en qué momento cambia su valor a medida que un ataque pasa de ser un intento de compromiso a una intrusión activa.
La prevención siempre será un elemento fundamental de la arquitectura de seguridad. Sin embargo, en un mundo en el que la inteligencia artificial acelera la detección y el aprovechamiento de vulnerabilidades, y en el que no es realista aplicar parches a todos los componentes de software y hardware implementados en todas las empresas, los programas de seguridad deben definir claramente qué ocurre cuando falla la prevención y diseñarse teniendo esto en cuenta.
Ahí es donde la detección y la respuesta deben asumir el peso de la responsabilidad. No como una medida de último momento ni como un conjunto de alertas inconexas, sino como un modelo para comprender el comportamiento de los atacantes en todo el entorno.
La pregunta práctica para los operadores y responsables de seguridad es muy clara. Cuando un atacante logra burlar los controles que se suponía que debían detenerlo, ¿siguen siendo capaces de ver lo que está haciendo, comprender hasta dónde ha llegado y reaccionar antes de que su actividad se convierta en un incidente grave para la empresa?
Vectra AI diseñada de forma única para proporcionar las señales y la capacidad continua necesarias para proteger la empresa híbrida y definida por software, ofreciendo detección y respuesta mediante conjuntos de datos y tecnologías que ninguna otra empresa ofrece por sí sola. Si realmente te interesa una arquitectura de seguridad que ofrezca capacidades más allá del «horizonte de eventos», échale un vistazo.
Si quieres saber más de Marty Roesch en «Security Event Horizon», no te pierdas el Hunt Club .