En los últimos años, las organizaciones han acelerado el ritmo en la adopción de servicios o tecnologías que les facilita un acercamiento del negocio al mundo digital. Desafortunadamente, los ciberdelincuentes se han venido aprovechando de esto y se encuentran igualmente en un camino vertiginoso de creación de nuevas técnicas, amenazas y modelos de comercialización de servicios maliciosos al alcance de “cualquiera”. Esto ha impuesto grandes y nuevos retos a los equipos de seguridad. Especialmente debido a que los escenarios de ataque son continuos, adaptativos e inteligentes.
Para responder al nuevo panorama, desde hace ya varios años las organizaciones vienen incluyendo dentro de su arsenal de defensa tecnologías que les permiten tener una mayor visibilidad de lo que realmente pasa en sus entornos. Dentro de estas, los SIEM se posicionaron como parte vital de los Centros de Operaciones de Seguridad (SOC, por sus siglas en inglés). Estas tecnologías han avanzado significativamente en los últimos años con la inclusión y mejora de técnicas de detección que ayudan a que los equipos de seguridad enfoquen sus esfuerzos en comportamientos realmente sospechosos y no sean fatigados por millones de alarmas. Sin embargo, el incremento abrumador de sistemas de información y su interrelación, posiblemente impidan mantener una tranquilidad por mucho tiempo en relación con la evaluación continua de riesgos. Tarde o temprano retornará el efecto de silla giratoria en los analistas de seguridad y volverán a ser consumidos por cientos de millones de alarmas que les impidan seguir adoptado medidas efectivas.
Cambiando de enfoque
Se requiere entonces un nuevo acercamiento a las estrategias de ciberdefensa, donde las características de inteligencia prevalezcan, permitiendo pronosticar comportamientos que refuercen las tareas de detección y respuesta de forma holística. Adicionalmente, se deben construir modelos de protección partiendo de la desconfianza, pues con la desaparición del perímetro tradicional no pueden existir confianzas heredadas ni implícitas frente a usuarios, aplicaciones o cualquier sistema de información. Incluso es recomendable asumir que las cosas no están funcionando bien, una actitud mental que ayudará a que nuestros equipos de seguridad naturalmente migren sus capacidades de monitoreo reactivo a monitoreo continuo.
El cambio de enfoque planteado, nos lleva al 2008 cuando Sun Microsystems comenzaba a hablar de “Arquitectura de seguridad adaptativa”*, concepto retomado por Gartner hace un par de años en el que se resaltan las etapas de predicción, prevención, detección y respuesta. A primera vista no parece haber nada nuevo en este enfoque. Sin embargo la inclusión de la predicción hace la diferencia pues incorpora elementos innovadores que organizacionalmente se deben empezar a evaluar con mayor determinación.
Lograr predecir o anticiparse significa evitar. El análisis predictivo nos invita a aprender de nuestros errores, a entender los contextos organizacionales, a aplicar medidas de análisis forense, e incluso usar las pruebas de seguridad (análisis de vulnerabilidades, pentesting o red team) con un enfoque de negocio que en conjunto faciliten la identificación de los puntos débiles de la organización, es decir, la identificación de una superficie de ataque real.
Desafortunadamente, establecer y mantener actualizado el entendimiento de la superficie de ataque tiene en sí mismo grandes retos. Por ejemplo, las enormes cantidades de datos corporativos que continuamente se crean, transmiten o almacenan a través de innumerables aplicaciones que a su vez utilizan las redes corporativas o públicas. La buena noticia es que ha habido una evolución de las tecnologías que permiten el entendimiento organizacional a través de aprendizajes automáticos de grandes volúmenes de datos y que permiten identificar comportamientos maliciosos.
Por ejemplo, la inclusión de inteligencia artificial facilita el trabajo y enfoca las capacidades humanas de los equipos de seguridad. Alternativas como UEBA (User and Entity Behavior Analytics) o NBA (Network Behavior Analytics), ayudan al perfilamiento de la actividad de los usuarios, dispositivos, aplicaciones y redes en la búsqueda de detectar tendencias, patrones anómalos o comportamientos inusuales que puedan ser considerados como sospechosos.
Lo mejor de todo, es que liberan a los analistas de seguridad de tareas que consumen su tiempo innecesariamente y les permite invertirlo en seguir mejorando las características de prevención y respuesta con datos impregnados de contexto que se traducen en indicadores de exposición y en información adecuada sobre los niveles de defensa de la organización.
En conclusión, la inclusión de la predicción enfoca el trabajo hacia la inteligencia, buscando adaptación e innovación, impidiendo que los fenómenos de la “silla giratoria” vuelvan a aparecer, pero sobre todo haciendo viable el negocio en un mundo lleno de amenazas.
* http://vancouver-issa.org/events/presentations/2009/2009-01-15/Adaptive-Security-ISSA-BC.pdf
