Ciegos ante la brecha de la ciberseguridad
Dentro de esta brecha, los atacantes tienen una enorme ventaja sobre los productos de seguridad tradicionales basados en la prevención. Aunque las herramientas y técnicas de prevención están muy extendidas hoy en día, los ciberdelincuentes las superan habitualmente utilizando métodos de ataque complejos y construidos con inteligencia.
Los ciberataques ya no son simples operaciones de asalto y robo dirigidas por malware preprogramado. Están controlados por seres humanos altamente cualificados, creativos e inteligentes. La coordinación continua permite a un atacante humano aprender progresivamente más sobre la red objetivo, adaptarse a cualquier medida defensiva y avanzar en el ataque a lo largo del tiempo.
Mientras que los ataques han dado un salto evolutivo en complejidad, las defensas de seguridad no lo han hecho. Las defensas están desbordadas tratando de encontrar amenazas mediante firmas rápidas de coincidencia de patrones de amenazas y malware conocidos.
A medida que las amenazas se vuelven más inteligentes y evolucionan en sofisticación con el paso del tiempo, la seguridad tradicional sigue dependiendo de hacer juicios rápidos basados en información incompleta.
La seguridad tradicional sigue dependiendo de juicios rápidos basados en información incompleta.
Hoy en día, este desequilibrio da a los atacantes una ventaja significativa. Para mantener el ritmo, las organizaciones necesitan un enfoque más inteligente de la seguridad: una nueva clase de seguridad que pueda aprender, evolucionar y pensar.
Este documento expone los requisitos de una nueva metodología que identifique las amenazas basándose en lo aprendido del pasado, así como en el contexto local, y luego conecte los sucesos a lo largo del tiempo para revelar la progresión de un ataque.
El reto de la firma
Las defensas de seguridad han intentado seguir el ritmo utilizando cada vez más firmas y entregándolas cada vez más rápido. Las firmas son la base de la tecnología de seguridad tradicional y están escritas para identificar exploits, URL maliciosas y malware conocido.
Las firmas pueden identificar y bloquear rápidamente amenazas conocidas a gran escala. Sin embargo, su punto débil es que son intrínsecamente reductoras: reducen una amenaza conocida a su huella dactilar más simple con el fin de dar una única respuesta afirmativa o negativa en microsegundos para evitar ralentizar el flujo del tráfico de aplicaciones.
Este enfoque reduccionista en respuestas inmediatas y sencillas ha creado una ventaja para los atacantes dispuestos a adaptarse. Las firmas solo funcionan tomando la huella de una amenaza conocida, y los atacantes han aprendido a evitar las firmas utilizando amenazas nuevas y desconocidas.
El Informe de Verizon sobre investigación de filtraciones de datos de 2015 ilustra esta tendencia con todo detalle, indicando que entre el 70% y el 90% del malware utilizado en las filtraciones de datos era exclusivo de la organización infectada.
Esto significa que cada organización necesitaría un conjunto único de firmas para protegerse, un requisito que no es escalable. Pero si un atacante utiliza una amenaza desconocida, o zero-day, no podría existir ninguna firma para detectarla. La importancia y facilidad de evitar las firmas no ha pasado desapercibida para los atacantes.
Aunque los atacantes son capaces de adelantarse a las firmas, es la persistencia del ataque en curso lo que realmente ha cambiado las tornas. Una vez que las defensas externas de una organización se ven comprometidas, los atacantes pueden mezclarse en la red, espiar progresivamente y extenderse más profundamente hasta encontrar activos de alto valor que robar o destruir.
Este proceso suele implicar múltiples hosts comprometidos, una variedad de herramientas y malware, y el robo y uso indebido de credenciales de usuario válidas. Lo importante es que la amenaza en sí es continua mientras los atacantes evolucionan sus operaciones y se adaptan con el tiempo.
La amenaza en sí es continua mientras los atacantes hacen evolucionar sus operaciones y se adaptan con el tiempo.
La naturaleza reductora de las firmas que identifican las amenazas a nivel atómico está especialmente mal equipada para reconocer la química más compleja que se desarrolla a su alrededor. Esta laguna de inteligencia es precisamente la razón por la que es tan vital un nuevo modelo de seguridad para la detección de amenazas.
El nuevo modelo de detección de amenazas
El modelo de detección de amenazas más novedoso y avanzado hace algo más que colmar las lagunas de las tecnologías de seguridad tradicionales. Aplasta la ventaja estratégica de la que han disfrutado los atacantes durante demasiado tiempo.
Detecciones de grano grueso con una larga vida útil
Las detecciones que utilizan firmas tradicionales se quedan obsoletas cuando los atacantes se adaptan trasladándose a un nuevo dominio o añadiendo unos pocos bits al malware conocido para que las firmas ya no coincidan con él. Esto les da la ventaja de ser los primeros, ya que incluso los cambios más triviales mantienen a los atacantes varios pasos por delante de los defensores.
Uno de los principales objetivos del nuevo modelo de detección de amenazas es ofrecer detecciones que sigan siendo válidas durante largos periodos de tiempo. Para ello es necesario pasar de la identificación de cada caso individual de una amenaza al reconocimiento de las características de ataque fundamentales que todas las amenazas tienen en común.
Cuando se aplican al tráfico a nivel de paquetes, la ciencia de datos y el aprendizaje automático se convierten en herramientas extremadamente potentes para identificar las características fundamentales que distinguen las amenazas del tráfico normal.
Centrarse en las acciones y comportamientos de los agresores
Los modelos de detección tradicionales intentan encontrar fragmentos de código de exploits, una muestra conocida de malware o un dominio malicioso. Esto conduce a un trabajo intratable de encontrar constantemente y tomar huellas dactilares de un número infinito de ocurrencias maliciosas. La tarea es interminable y los atacantes siempre van un paso por delante utilizando un nuevo exploit.
Para romper este ciclo, el nuevo modelo de detección de amenazas cambia el enfoque de tratar de nombrar todas las cosas malas posibles a identificar los indicadores únicos de los comportamientos y acciones de ataque.
En otras palabras, el objetivo pasa de identificar qué es una cosa a identificar qué hace esa cosa. Aunque los atacantes pueden ocultar sus amenazas introduciendo ligeros cambios en malware o comprando un nuevo dominio, las acciones y los objetivos de un ataque son siempre los mismos.
Por ejemplo, prácticamente todos los ataques deben establecer alguna forma de comunicación oculta para que el malhechor pueda coordinar y gestionar el ataque. El ataque también debe propagarse internamente, comprometer más dispositivos internos y credenciales y, en última instancia, destruir activos o extraerlos de la red.
Prácticamente todos los ataques deben establecer alguna forma de comunicación oculta para coordinar y gestionar el ataque.
Al centrarse en los comportamientos de ataque, los defensores pueden luchar y ganar la guerra asimétrica de la ciberseguridad cambiando las matemáticas de la seguridad a su favor. En lugar de utilizar miles de firmas para encontrar todas las variantes de una amenaza, pueden centrarse en unas pocas docenas de comportamientos clave que los atacantes deben realizar para tener éxito.
Reconocer las amenazas a lo largo del tiempo
Uno de los rasgos más reconocibles de las modernas violaciones de datos en la red es que evolucionan con el tiempo. Este enfoque lento y lento se ha convertido en el procedimiento operativo estándar para los ataques sofisticados, y por una buena razón. La seguridad tradicional adolece de memoria a corto plazo y de una forma de amnesia perfecta posterior a la violación.
La seguridad tradicional adolece de memoria a corto plazo y de una forma posterior de amnesia perfecta.
El nuevo modelo de detección de amenazas reconoce las amenazas en tiempo real e identifica los indicios de ataque que evolucionan con el tiempo. Una cosa no excluye la otra. Por ejemplo, pequeñas anomalías de sincronización y cadencias dentro de una sesión de red pueden revelar túneles ocultos y herramientas de acceso remoto utilizadas por los atacantes.
Por el contrario, reconocer cuándo las credenciales de un empleado han sido comprometidas puede requerir aprender los comportamientos normales del usuario durante un periodo de días, semanas y meses. Aunque la escala temporal puede ser muy pequeña o muy larga, ambos casos exigen un profundo conocimiento de las amenazas en relación con el tiempo.
Reconocer los ataques, no sólo las técnicas
Para aportar valor, la seguridad debe identificar los riesgos empresariales reales para una organización y no limitarse a ofrecer una lista de alertas. Para ello es necesario que las soluciones de seguridad comprendan cómo se interconectan los eventos individuales y el impacto que esas amenazas tienen en los activos de una organización.
Para ello es necesario combinar el contexto de la amenaza y el de la organización. La capacidad de conectar los puntos entre las fases de un ataque es precisamente lo que distingue un ataque dirigido de la corriente de amenazas básicas que inundan las redes a diario.
Detección de amenazas mediante la ciencia de datos
Para cumplir estos requisitos, la ciencia de datos y las técnicas de aprendizaje automático pueden aplicarse directamente al tráfico de red. El modelo de detección de amenazas más reciente utiliza ambas para revelar de forma proactiva ataques ocultos dentro de una red.
¿Por qué utilizar la ciencia de datos?
La ciencia de los datos y el aprendizaje automático se han convertido en palabras de moda en el sector, con un abanico aparentemente interminable de afirmaciones y aplicaciones. Es importante entender que se trata simplemente de herramientas y no de una panacea para todos los problemas de seguridad.
Para evitar las exageraciones del marketing, es esencial comprender exactamente qué aportan estos enfoques, en qué se diferencian de otros y cuáles son sus puntos fuertes y débiles.
La ciencia de datos representa un cambio fundamental en la seguridad. A diferencia de un enfoque basado en firmas que ofrece una correspondencia 1 a 1 entre amenazas y contramedidas, la ciencia de datos utiliza el aprendizaje colectivo de todas las amenazas observadas en el pasado para identificar proactivamente otras nuevas que no se han visto antes.
Piense en ello como un estudiante que aprende una nueva asignatura en la escuela. Memorizar las respuestas de un examen puede dar como resultado un aprobado, pero este enfoque es erróneo cuando se trata de aprender a resolver un problema.
A largo plazo, es esencial entender qué, cuándo, por qué y cómo. El conocimiento real y la inteligencia son mucho más ventajosos a la hora de evaluar y resolver nuevos problemas que no se han planteado antes.
Se trata de una distinción de vital importancia a la hora de utilizar la ciencia de datos para detectar amenazas. Para que el modelo tradicional funcione, todas las respuestas deben conocerse de antemano. Por ejemplo, el dominio ACME.com se ha comportado mal en el pasado, por lo tanto es malo.
La ciencia de datos espera que se le planteen preguntas reales y aplica el aprendizaje colectivo para evaluar una incógnita.
En un escenario diferente, ACME123.com nunca ha sido visto comportándose mal en el pasado, pero el tráfico hacia y desde este dominio está mostrando cuatro comportamientos diferentes, la combinación de los cuales es consistente con un comportamiento de ataque de comando y control.
A partir del conocimiento colectivo de las amenazas recogido del mundo real, es posible identificar el dominio como que actúa mal basándose en su comportamiento.
La importancia de los datos directos y de primera mano
Los modelos de ciencia de datos dependen naturalmente de la calidad de los datos que analizan, y esto es especialmente cierto en el campo de la ciberseguridad. Para las soluciones de ciberseguridad es esencial encontrar amenazas sigilosas que se cuelan entre los controles tradicionales, y este trabajo requiere acceso directo y de primera mano a todo el tráfico de la red.
La gran mayoría de los enfoques que utilizan la ciencia de datos para detectar amenazas realizan minería de datos a partir de grandes bases de datos de registros de eventos. Aunque este enfoque puede encontrar correlaciones entre registros que antes se pasaban por alto, tiene algunas limitaciones preocupantes.
Los registros son una fuente secundaria de datos que resumen brevemente un suceso. La información que no figura en un registro se pierde y no está disponible para el análisis. Además, los registros son tan buenos como el sistema que los genera. Si un cortafuegos o dispositivo de seguridad no detecta una amenaza, no habrá ningún registro que analizar.
Las limitaciones de los datos de registro son desconcertantes. La función de una solución de ciberseguridad es detectar las amenazas que eluden las capas estándar de defensa. Volver a analizar resúmenes de dispositivos que ya han fallado en la detección de una amenaza no es lógico.
Volver a analizar los registros de dispositivos que no detectaron una amenaza no es lógico.
NetFlow y otros resúmenes de flujo adolecen de limitaciones similares. Los datos de flujo supervisan y rastrean el rendimiento en la fontanería de la red. Estos resúmenes se limitan a rastrear la dirección y el volumen del tráfico de red, y carecen de la visibilidad directa y de primera mano necesaria para encontrar una amenaza oculta y altamente evasiva.
Los modelos de ciencia de datos funcionan mucho mejor cuando se aplican a datos de mayor calidad. En lugar de limitarse a extraer datos de fuentes defectuosas, el nuevo modelo de detección de amenazas aplica la ciencia de datos y el aprendizaje automático al tráfico de red a nivel de paquetes.
Este acceso directo y de primera mano al tráfico representa un estilo completamente nuevo de detección de amenazas. En lugar de correlacionar eventos o aprender líneas de base simples, la detección avanzada de amenazas construye modelos en tiempo real que reconocen los comportamientos del tráfico malicioso.
Los ciberataques siempre evolucionan. Pero al conservar la visibilidad de primera mano del tráfico, el nuevo modelo de detección de amenazas siempre puede adaptarse para identificar nuevas técnicas y estrategias de ataque. Esto contrasta fuertemente con los sistemas basados en registros y flujos, que siempre dependen de fuentes de datos anteriores.
El papel del aprendizaje automático en la ciencia de datos
La popularidad y el interés por la ciencia de datos y el aprendizaje automático han convertido ambos términos en eslóganes ingeniosos, lo que hace difícil distinguir uno de otro.
La ciencia de los datos se ocupa ampliamente de las muchas formas en que se puede extraer conocimiento de los datos. Su amplia perspectiva abarca un amplio conjunto de disciplinas que incluyen las matemáticas, la estadística, el aprendizaje automático y una variedad de análisis, por nombrar solo algunas.
Es importante señalar que el aprendizaje automático es un subconjunto de la ciencia de datos. El nuevo modelo de detección de amenazas también aprovecha una amplia gama de técnicas de ciencia de datos que incluyen aprendizaje automático supervisado y no supervisado, modelos matemáticos heurísticos de detección, modelado estadístico y análisis de comportamiento.
El aprendizaje automático permite al software aprender iterativamente de los datos y adaptarse sin ser programado explícitamente. En el contexto de la detección de amenazas, el aprendizaje automático identifica y aprende patrones de comportamiento que revelan un ataque.
En el contexto de la detección de amenazas, el aprendizaje automático identifica y aprende patrones de comportamiento que revelan un ataque.
Aprendizaje automático supervisado y no supervisado
La detección de amenazas requiere dos tipos de conjuntos de datos de alto nivel. El primero es un conjunto global de experiencias que indica en qué se diferencian las amenazas del tráfico normal o benigno. El segundo es un conjunto local de experiencias que revelan comportamientos inusuales o anómalos en un entorno concreto.
El primer enfoque revela comportamientos que siempre son malos, independientemente de la red en la que se produzcan, y el segundo revela amenazas basadas en el contexto local. Ambos son cruciales para detectar amenazas y deben trabajar en cooperación.
El aprendizaje automático supervisado aborda el primer enfoque analizando malware conocido, las amenazas y las técnicas de ataque. Está guiado por investigadores de seguridad y científicos de datos que identifican comportamientos fundamentales posteriores a la explotación que son coherentes en todas las variantes. A continuación, este análisis alimenta algoritmos que detectan comportamientos maliciosos subyacentes en el tráfico de red.
Aunque la inteligencia global es extremadamente útil, algunos ataques sólo se revelan si se comprende el contexto local de la red objetivo. El aprendizaje automático no supervisado se refiere a modelos que reconocen de forma proactiva lo que es normal para una red concreta y cuándo los comportamientos se desvían de esa norma.
Ambos estilos de aprendizaje automático son esenciales y trabajan juntos para detectar amenazas ocultas. Asimismo, ambos estilos admiten algoritmos de detección basados en información que se observa durante largos periodos de tiempo.
En lugar de detectar en unos pocos milisegundos basándose en un solo paquete o flujo de datos, el nuevo modelo de detección de amenazas aprende e identifica patrones de comportamiento de ataque durante periodos que van de segundos a semanas.
Conclusión
El modelo de detección de amenazas más reciente y avanzado combina una amplia gama de técnicas de inteligencia y detección líderes del sector para ver las amenazas desde todos los ángulos en tiempo real. Representa una nueva metodología de detección, más eficaz y altamente competente, que aprovecha la ciencia de los datos para detectar amenazas que los modelos de seguridad tradicionales pasan por alto.
Con la confianza de expertos y empresas de todo el mundo
