El 72% de los profesionales de la seguridad "creen que pueden haber sido vulnerados, pero no lo saben". Dicho de otro modo, casi tres cuartas partes de los equipos de seguridad no saben dónde están comprometidos ahora mismo. A esto lo llamamos la amenaza desconocida, y ha ido ganando fuerza en los últimos dos años dado el rápido cambio a los servicios de cloud híbrida, almacenamiento, aplicaciones e identidad. Las amenazas desconocidas, ya se cloud, en la apropiación de cuentas o en ataques a la cadena de suministro, simplemente tienen más formas de infiltrarse y moverse lateralmente dentro de una organización, por lo que creemos que la amenaza desconocida es el mayor riesgo de ciberseguridad en la actualidad.
Así lo demuestra el informe Cost of a Data Breach 2022 de IBM, según el cual casi la mitad (45 %) de las filtraciones se cloud. También lo vemos en el informe de Verizon sobre investigaciones de filtraciones de datos en 20 22, según el cual casi la mitad de las filtraciones tienen su origen en el robo de credenciales. Además, Verizon descubrió que las APT que atacan las cadenas de suministro representan el 62% de los incidentes de intrusión en sistemas.
Entonces, ¿por qué las organizaciones son más susceptibles a las amenazas desconocidas? Creemos que se reduce a tres cosas, donde en el centro de estas tres cosas, está la espiral viciosa de tratar de abordar más con "más".
- Una mayor exposición de la superficie de ataque implica más herramientas, lo que significa más complejidad.
- Más atacantes evasivos significan más reglas, lo que significa más alertas y más ajustes.
- Más reglas de alerta que ajustar y mantener significa más analistas, más trabajo y más agotamiento.
Lo desalentador es que la industria de la seguridad sigue intentando combatir más con más, pero está increíblemente claro que esa no es la respuesta. Más no borra lo desconocido. Lo alimenta. Más es la causa del problema de confianza al que se enfrentan los responsables de seguridad.
Salir de la espiral del "más"
Dos factores impulsan la espiral del "más
La primera es estructural en el sector de la seguridad: demasiados productos puntuales para la detección y respuesta ante amenazas. La única solución práctica para esto son las plataformas de detección y respuesta a amenazas que tienen una amplia cobertura de la superficie de ataque, y pueden unificar y simplificar de forma nativa. Hablaremos más de esto en un futuro blog [XDR].
La segunda, es el lenguaje que las herramientas de detección aún comunes utilizan para detectar, sobre todo IDS y SIEM. Esto se debe a un enfoque de décadas en la creación de capacidades de inteligencia de amenazas para comunicarse rápidamente y encontrar IoC conocidos como dominios C2, hashes de archivos, nombres de procesos maliciosos, claves de registro, regex en paquetes, etc. Los lenguajes de reglas de detección se optimizaron de forma natural para encontrar estos IoC conocidos.
Hoy en día, el panorama ha cambiado y estos enfoques no pueden seguir el ritmo:
- Las amenazas modernas se mueven demasiado rápido, dejando a los defensores constantemente persiguiendo la última vulnerabilidad o dominio.
- Los métodos de ataque modernos desafían la caracterización mediante firmas y reglas sencillas.
- Las amenazas modernas y evasivas eluden la prevención y pasan desapercibidas durante meses.
Un ejemplo sencillo es encontrar a un atacante que está utilizando una credencial de administrador robada para moverse lateralmente con un protocolo de administrador de Windows. Si dispone de los datos adecuados, las reglas y firmas pueden indicarle cada vez que se utiliza una credencial de administrador con herramientas de administración de Windows para ejecutar código de forma remota. La actividad de ataque potencial quedará enterrada en las alertas de cada administrador que haga su trabajo. Ahora comienzan los intentos de afinar esta regla - y nunca terminarán - tal vez la regla sea efectiva, tal vez no. Esta es una receta para más puntos ciegos y más agotamiento. Una receta para que gane el compromiso desconocido.
Los buenos modelos ML/AI son la única forma de salir de este círculo vicioso
Durante más de una década, Vectra ha estado investigando, patentando, desarrollando y siendo pionera en IA de Seguridad centrada en borrar lo desconocido y no hacerlo con más, sino hacerlo con menos. La premisa central de Vectra Security AI no se centra en recopilar más datos, sino en recopilar y analizar los datos correctos de la forma correcta.
Recopilar los datos adecuados y analizarlos de la forma correcta permite a los equipos de seguridad hacer más con menos herramientas, menos trabajo y en menos tiempo. En Vectra, creemos que para eliminar la amenaza desconocida, la IA/ML debería ayudar a los equipos de seguridad a hacer tres cosas sencillas de forma eficaz y eficiente:
- Piense como un atacante para ir más allá de las firmas y las anomalías y comprender el comportamiento de los atacantes y concentrarse en las TTP de los atacantes en toda la cadena cibernética.
- Sepa qué es malicioso analizando los patrones de detección exclusivos de su entorno para sacar a la luz los eventos relevantes y reducir el ruido.
- Céntrese en lo urgente con una visión de las amenazas por gravedad e impacto que permite a los analistas centrarse en responder a las amenazas críticas y reducir el riesgo empresarial.
Introducir Attack Signal Intelligence
Lo único que "más" seguridad necesita, es más Attack Signal Intelligence.
La Inteligencia de Attack Signal Intelligence Ataque es para lo desconocido lo que la Inteligencia de Amenazas es para lo conocido. A diferencia de otros enfoques de "IA" que buscan simples anomalías para indicar a los equipos de seguridad lo que es diferente, la Attack Signal Intelligence de Vectra indica a los equipos de seguridad lo que importa.
Para ello, supervisamos continuamente el uso de los métodos de los atacantes con un conjunto de modelos programados con un conocimiento de las TTP de los atacantes (piense en MITRE ATT&CK) y la capacidad de aprender su entorno único. A continuación, ejecutamos los resultados a través de otra capa de IA que combina la comprensión de su entorno en conjunto, con modelos de amenazas e inteligencia humana sobre amenazas, para identificar automáticamente las amenazas más importantes para su empresa. El resultado es que nuestros clientes son un 85% más eficientes en la identificación de amenazas reales y logran una productividad de las operaciones de seguridad >2 veces mayor.
Si la inteligencia sobre amenazas da a la seguridad la confianza para mitigar lo que se conoce, la inteligencia sobre señales de ataque da a la seguridad la confianza para mitigar lo que antes se desconocía. Aprovechando la Attack Signal Intelligence Ataque patentada por Vectra, los equipos de seguridad están capacitados para eliminar lo desconocido, dar la vuelta a la tortilla y hacer del mundo un lugar más seguro y justo.
Ese es nuestro compromiso.
Para más información sobre cómo cumplimos nuestra misión, consulte estos recursos:
- Vectra Security - Attack Signal Intelligence basada en IA - Cómo funciona
- Resumen de la solución Attack Signal Intelligence Vectra
- Vectra Plataforma de detección y respuesta a amenazas
- Libro Blanco: La IA detrás de Vectra AI