La seguridad cognitiva avanza en el combate de los ciberataques

0
812

Por Javier Braun Polledo, Gerente General de Ricoh Argentina

 

Según un informe reciente de Frost & Sullivan y de Ricoh, el 90% de las empresas a nivel mundial han sido vulneradas por algún tipo de ataque en los últimos 10 años, a pesar de contar con una protección perimetral y la protección de antivirus a nivel dispositivo.  En este panorama, la seguridad cognitiva promete revolucionar las soluciones de seguridad actuales y ser un complemento de los dispositivos de seguridad en las arquitecturas establecidas ya que reúne las tecnologías de redes neuronales, la inteligencia artificial y Big Data y las integra junto con las soluciones de seguridad convencionales.

Una de las razones por lo cual los ciberataques han sido tan efectivos se debe a la naturaleza cambiante y evasiva de los mismos y pueden detectarse con tecnologías basadas en patrones de reconocimiento y en base a sandboxing pero aún están sujetas a ser superadas si el código del malware cuenta con mecanismos de evasión, permitiendo la activación del malware tiempo después de su llegada a la red. El malware de nueva generación burla diversos sistemas de sandbox porque cuenta con algoritmos de evasión que detectan que está siendo analizado por un ambiente virtual y no por un dispositivo de un usuario real.

Por otra parte, los ataques dirigidos o del tipo APT (Advanced Persistent Threat), -a diferencia del malware antecesor que buscaba de manera estadística y general de lanzar ataques de forma masiva para ver cuántas víctimas eran infectadas-, los ataques APT, buscan primero identificar las vulnerabilidades en el navegador o en el software del usuario por medio de un “Exploit Kit” para lanzar un ataque dirigido con base a esta vulnerabilidad.

Ejemplos del potencial de la seguridad cognitiva

Uno de los ejemplos del potencial de la seguridad cognitiva son los módulos de antivirus o antimalware en los firewalls que operan en conjunto con funciones de sandbox para la detección de amenazas. El sandbox proporciona una capa adicional de seguridad para detectar amenazas invisibles a un antivirus porque realiza inspección y verificación de la información emulando a un usuario. Esto pareciera ser un mecanismo infalible de inspección, sin embargo, no lo es, ya que los desarrolladores de malware fabrican técnicas de evasión para sandboxing: técnicas de evasión para ambientes virtuales, de ambiente operativo y basadas en la interacción humana.

Un caso específico de esto son los ataques de “Día Cero”, los cuales explotan una vulnerabilidad no detectada aun por el fabricante del hardware o software y que en consecuencia no pueden ser detectadas mediante algún mecanismo estático como el del antivirus. Más aún, los desarrolladores de malware más hábiles han desarrollado técnicas de evasión para IPS mediante la manipulación de cabezales o en el mismo cuerpo de las tramas de paquetes. Otras técnicas de evasión pueden incluir ofuscación, cifrado de paquetes, fragmentación y mecanismos de violación de protocolo.

Otro ejemplo son las tecnologías dedicadas al procesamiento y correlacion de logs como los analizadores de logs y los SIEMS. Estas tecnologías permiten hoy en día de una forma muy manual poder detectar diversos tipos de eventos de seguridad. Actualmente, este análisis de logs se hace por medio de personal altamente calificado que ha pasado por varios años dolorosos de experiencia que le han dado la habilidad y capacidad de llevar a cabo el análisis y la correlación de eventos. Este personal es normalmente escaso y difícil de contratar, lo cual normalmente redunda en contratación de personal medianamente calificado que no puede explotar la capacidad completa de estos sistemas lo que a su vez conlleva en la detección tardía de las amenazas de seguridad.

Estos ejemplos representan la generalidad de la problemática más común en los sistemas de seguridad que las empresas experimentan día a día. Llevar a cabo una estrategia de contención eficiente, conlleva a un crecimiento proporcional en la cantidad de personal, lo cual no es factible, pues en realidad, las tendencias a corto plazo, indican que la cantidad de ataques siempre será mayor que la cantidad de gente que pueda atender estos eventos.

La seguridad cognitiva promete ser un complemento de los mecanismos de seguridad mencionados. Puede volver más inteligentes a los algoritmos y mecanismos de detección basados en antivirus y sandboxing, implementando técnicas de machine learning e inteligencia artificial para permitir mayor capacidad de detección de amenazas que utilizan técnicas de evasión regular y avanzada. Por otro lado, los sistemas de detección y protección IPS/IDS pueden convertirse en mecanismos de detección menos vulnerables capaces de detectar nuevos patrones de tráfico maliciosos que mediante análisis cognitivos requieran menor entrenamiento, administración y seguimiento por parte de los administradores de seguridad.

Finalmente, la mayor pesadilla de todo personal en los SOCs o del personal dedicado a la administración de la seguridad es el proceso de mitigación, el cual como se menciona, en muchos casos, la sofisticación del ataque requiere de múltiples conocimientos y experiencia previa y, en algunos casos, la interacción de varias personas al mismo tiempo que lleven a cabo varias tareas de mitigación para reducir el costo y el impacto del ataque en curso.

En estos casos la seguridad cognitiva ayuda en múltiples tareas. Por un lado, la correlación y la creación de reglas para la generación de alarmas se reduce considerablemente ya que los algoritmos de autoaprendizaje y el análisis cognitivo se encargarán de convertir a los SIEMS y a los analizadores de logs en dispositivos más avanzados que puedan crear y actualizar nuevas reglas de detección y alarmas de forma automática mediante autoaprendizaje. Además permitirá que los logs que se almacenan indefinidamente dejen de convertirse en terabytes de basura de información no estructurada que no puede ser explotada.

Ricoh IT Services cuenta con un amplio portafolio integral de soluciones que colaboran con las tecnologías de seguridad cognitiva y están enfocadas en reducir considerablemente el número de incidentes de seguridad y el número de eventos con falsos positivos lo cual mantiene en un alto nivel de estrés al personal de IT. La oferta de soluciones está basada en arquitecturas integrales que se comunican entre sí y ayudan a las empresas a reducir los costos de soporte y mantenimiento y costos operativos con un mejor resultado en su seguridad. Los más de 700 especialistas de Ricoh en seguridad a nivel global analizan los requerimientos en particular de cada uno de los clientes para que inviertan en tecnologías que implementan los últimos avances en “Machine Learning”, Análisis de “Big Data” e Inteligencia Artificial aplicados a la seguridad.

 

 

DEJA UNA RESPUESTA