Cisco acaba de anunciar el término "redes basadas en la intención" en un comunicado de prensa que impulsa la idea de que las redes deben ser más intuitivas. Uno de los elementos de esa intuición es que las redes sean más seguras sin necesidad de que los profesionales de seguridad de las redes locales tengan que hacer un gran esfuerzo. Y una parte destacada de esa estrategia es Cisco ETA:
" Encrypted Traffic Analytics de Cisco resuelve un reto de seguridad de red que antes se creía irresoluble", afirma David Goeckeler, vicepresidente senior y director general de redes y seguridad. "ETA utiliza la ciberinteligencia Talos de Cisco para detectar firmas de ataque conocidas incluso en el tráfico cifrado, ayudando a garantizar la seguridad al tiempo que se mantiene la privacidad."
Siempre me intriga (y a menudo me divierte) la afirmación de que se ha resuelto un problema irresoluble. Veamos cómo se construye la ETA de Cisco:
- Tomar muchas muestras de malware ya clasificadas en familias de malware y etiquetadas para reflejar esta clasificación.
- Ejecutar cada uno en una caja de arena durante 5 minutos
- Captar el tráfico que emiten las muestras
- Aislar las sesiones cifradas TLS de entre el tráfico
- Extraer información sobre estas sesiones de sus handshakes TLS: hay un Client Hello enviado del cliente al servidor y un Server Hello (que incluye un certificado de servidor) con el que el servidor responde.
- Extraer información sobre el flujo y reflujo de datos (tamaño de los paquetes, retrasos entre paquetes, bytes presentes en los paquetes, etc.) en la sesión.
- Tome las características de (5) y (6) y utilícelas para entrenar un modelo que cree correspondencias entre estos datos y las familias de malware de (1).
Acogemos con satisfacción los pasos dados por Cisco para integrar la extracción de metadatos de forma nativa en la red y aplaudimos sus esfuerzos por aplicar el aprendizaje automático para detectar amenazas. Es algo que llevamos años implantando en las redes de nuestros clientes, y hemos visto las ventajas que puede aportar cuando se hace bien (y mal, porque también hemos tenido nuestros tropiezos). No es de extrañar, ya que se trata de algo difícil, que los primeros pasos de Cisco en este ámbito hayan sido un tanto decepcionantes.
No cabe duda de que existen algunos enfoques novedosos en la selección de características y las técnicas de aprendizaje automático empleadas en Cisco ETA. Pero la idea general de utilizar metadatos de sesión para crear firmas precisas para las comunicaciones de malware parece un retroceso, que nos devuelve al lanzamiento del primer IDS basado en firmas, hacia 1995. Suponiendo que tenga éxito con la actual generación de malware, los desarrolladores malware tardarán poco tiempo en cambiar sus comunicaciones cifradas de forma sencilla para eludir esta forma de detección. Los cambios que harían los atacantes son bastante obvios:
- Utilice formas estándar de criptografía actual aunque no necesite las protecciones que ofrece
- No haga que su certificado tenga un mal aspecto evidente (sugerencia: copie un certificado estándar de un sitio web popular y utilícelo como plantilla para su certificado).
- Aleatorizar el tráfico dentro de su conexión TLS lanzando periódicamente algo de tráfico extra y variando el momento de la comunicación y el tamaño de las peticiones y respuestas.
Y entonces vuelve a empezar el juego del gato y el ratón. Salvo que ahora Cisco tendrá que recoger grandes volúmenes de muestras para intentar volver a entrenar a ETA. Y entonces los atacantes pueden volver a romperlo rápidamente.
A diferencia de la mayoría de las aplicaciones de aprendizaje automático, la ciberseguridad implica enfrentarse a un adversario inteligente que se ajustará a las capacidades del defensor. Por esta razón, nuestra aplicación del aprendizaje automático a los metadatos extraídos de la red se centra en encontrar patrones de comportamiento duraderos que requieran cambios fundamentales en las metodologías de los atacantes para contrarrestarlos.
Un ejemplo es el Acceso Remoto Externo, un modelo que Vectra lanzó hace más de dos años para encontrar el patrón fundamental de los humanos que controlan sistemas desde fuera de la red. Funciona independientemente de la herramienta del atacante y de si el tráfico está cifrado o no. El año pasado, cuando ShadowBrokers filtró la RAT nOpen, el modelo Vectra detectó los intentos de utilizarla sin necesidad de realizar ningún cambio. Resulta que inventar metodologías de ataque completamente nuevas es mucho más difícil que cambiar patrones superficiales de comunicación.
La implantación de la ETA tampoco será sencilla ni barata. La ETA requerirá la actualización de nuevos conmutadores de red o el despliegue de sensores de flujo. Los conmutadores son un pilar de los ingresos y un generador de beneficios para Cisco, por lo que vincular la nueva funcionalidad de seguridad a la conmutación no es una sorpresa. Las actualizaciones llevan tiempo y son perturbadoras, y en este caso todo ese dinero se traducirá probablemente en una funcionalidad de seguridad propia de los años noventa.
Si desea una alternativa que pueda proporcionar una reducción de 29 veces en la carga de trabajo de las operaciones de seguridad por una fracción del coste de una actualización de conmutadores, póngase en contacto con nosotros para obtener una demostración.