A la vanguardia de la seguridad de la red, siempre buscamos algo así como una "bola de cristal" que pueda predecir riesgos. , también conocido como "detección predictiva de amenazas", es exactamente un concepto de vanguardia. Ya no se limita simplemente a responder pasivamente a los ataques que ya han ocurrido, sino que se dedica a utilizar el análisis de datos y la predicción inteligente para identificar amenazas potenciales antes de que los piratas informáticos lancen ataques. Este tipo de pensamiento de defensa activa está remodelando nuestra comprensión de la seguridad y nuestras expectativas.
Por qué la protección de seguridad tradicional es difícil de hacer frente a amenazas desconocidas
Varios tipos de sistemas de protección de seguridad tradicionales, como firewalls y sistemas de detección de intrusiones, se basan principalmente en características de ataque conocidas para realizar coincidencias. Esta situación es como colgar un candado en la puerta, lo que sólo puede evitar las tácticas obvias de los ladrones. Estas defensas basadas en firmas serán ineficaces cuando se encuentren con métodos de ataque completamente nuevos y nunca antes vistos, conocidos como "ataques de día cero" o amenazas persistentes avanzadas.
Las tácticas de los atacantes continúan evolucionando, dedican tiempo a estudiar a sus objetivos y sus acciones son extremadamente sigilosas y duraderas. Las herramientas tradicionales a menudo solo ven el final de la cadena de ataque, es decir, cuando finalmente se ejecuta el malware. Para entonces, es posible que los datos hayan sido robados y el sistema comprometido. Esta situación de retraso deja al defensor en una posición pasiva y necesita urgentemente la capacidad de comprender de antemano las intenciones del atacante.
¿Cuál es la tecnología central de detección predictiva de amenazas?
La clave para la detección de características preconocidas es conectar y analizar grandes cantidades de datos de seguridad aparentemente no relacionados. Estos datos cubren registros de tráfico de red, registros de comportamiento de terminales, información de autenticación de identidad de usuario e incluso la dinámica de las actividades de ataque globales que se originan en bibliotecas de inteligencia de amenazas externas. Sólo recopilando esta información con la ayuda de plataformas de big data podremos elaborar un panorama completo de las amenazas.
Son los algoritmos de aprendizaje automático y de inteligencia artificial los que realmente les otorgan capacidades "predictivas"; estos algoritmos pueden aprender la red normal y la línea base de comportamiento dentro de una organización; cualquier actividad anormal que se desvíe significativamente de esta línea de base, incluso si no coincide con ninguna característica maliciosa conocida, se marcará como un evento de alto riesgo; por ejemplo, una cuenta del departamento de I+D accede repentinamente a la base de datos central a las tres de la mañana y descarga una gran cantidad de datos. Este tipo de operación que viola el patrón de comportamiento normal activará inmediatamente una alarma.
Cómo utilizar el análisis del comportamiento del usuario para predecir riesgos internos
Los ataques externos suelen ser menos destructivos que las amenazas internas. En comparación con los ataques externos, no debemos subestimar el potencial destructivo de las amenazas internas. La detección predictiva de amenazas se basa en el análisis continuo del comportamiento del usuario y de la entidad para lograr una identificación precisa de los riesgos. No se centra simplemente en los objetos a los que acceden los usuarios, sino que se centra más en si la secuencia, la frecuencia, el tiempo y el volumen de datos del acceso cumplen con estándares razonables. Esos sistemas de análisis maduros y completos construirán un perfil de comportamiento dinámico para cada usuario.
Si hay un miembro del personal financiero saliente que visita y descarga informes financieros confidenciales y listas de clientes con mucha frecuencia en un corto período de tiempo, esto constituirá una señal de alto riesgo. El sistema puede correlacionar y puntuar el estado de la solicitud de renuncia asociada, cambios repentinos en el comportamiento de acceso y el valor de los datos descargados. Cuando la puntuación de riesgo supera el umbral, el equipo de seguridad puede intervenir en la investigación con antelación y bloquear dichas operaciones antes de que se filtren los datos, cortando así la amenaza interna en su fase inicial.
Cómo la inteligencia sobre amenazas externas mejora las capacidades de alerta temprana
No basta con centrarse únicamente en la red interna. La detección predictiva debe tener una "visión exterior", lo que significa integrar inteligencia sobre amenazas de alta calidad. Esta inteligencia diferente cubre grupos de piratas informáticos activos en todo el mundo, así como los métodos de ataque que suelen utilizar, así como las vulnerabilidades de software recientemente reveladas, así como los nombres de dominio y direcciones IP que están siendo explotados maliciosamente. Esto equivale a brindar a los defensores un "mapa dinámico en tiempo real" de los atacantes globales.
Cuando hay información de que un grupo de ataque dirigido a la industria está utilizando nuevos nombres de dominio de phishing para llevar a cabo actividades, el sistema de seguridad puede agregar inmediatamente estos nombres de dominio a la lista negra y llevar a cabo una detección de claves en la puerta de enlace de correo electrónico interna. Si se descubre que un empleado interno ha recibido un correo electrónico procedente de estos nombres de dominio, incluso si el archivo adjunto del correo electrónico no se ha abierto, el incidente se marcará como una alerta de alta prioridad. Esto ha llevado al avance de acciones defensivas desde la "remediación después del hecho" hasta el "bloqueo durante el incidente" o incluso la "prevención antes del incidente".
¿A qué desafíos se enfrenta la detección predictiva en la implementación real?
Aunque las perspectivas son brillantes, se enfrentan desafíos importantes y difíciles al implementar sistemas predictivos de detección de amenazas. Los principales problemas son el ruido de los datos y las falsas alarmas. Existe la posibilidad de que los modelos de aprendizaje automático confundan por error una operación de emergencia y mantenimiento legítima. Determinado como un ataque malicioso, se genera una gran cantidad de alarmas, lo que eventualmente conduce a la situación de "fatiga de alarmas". Como resultado, las verdaderas amenazas quedan ocultas. Cómo ajustar con precisión el modelo y reducir la tasa de falsas alarmas es un problema de larga data en el proceso de operación real.
La segunda consideración son los requisitos estándar más altos propuestos por los analistas de seguridad profesionales. Las alertas tempranas generadas por el sistema no conducen a conclusiones deterministas, sino que son pistas que requieren una exploración en profundidad. Esto requiere que los analistas no sólo tengan la capacidad de comprender la tecnología, sino también la lógica empresarial, de modo que puedan determinar si un comportamiento anormal es un ataque malicioso en lugar de una necesidad empresarial especial. Sin esos talentos de alto nivel, no importa cuán avanzado esté el sistema, no podrá ejercer su verdadero valor.
Cómo se desarrollará la tecnología de detección de amenazas en el futuro
En el futuro, la detección de amenazas será cada vez más automatizada e inteligente. Las tecnologías de orquestación de seguridad, automatización y respuesta se integrarán profundamente con las plataformas de detección predictiva. Una vez que el sistema detecta una predicción de amenaza de alta confianza, puede realizar automáticamente una serie de acciones de respuesta predefinidas, como aislar temporalmente el terminal afectado, bloquear conexiones de red sospechosas u obligar a los usuarios a volver a autenticarse, reduciendo así el tiempo de respuesta de horas a minutos o incluso segundos.
Al mismo tiempo, la granularidad de la predicción de amenazas será cada vez más refinada. No sólo predecirá "si ocurrirá un ataque", sino que también intentará predecir el rango de tiempo en el que es probable que ocurra el ataque, los activos que tienen más probabilidades de ser explotados y los objetivos potenciales de los atacantes. Esta inteligencia predictiva más procesable puede permitir que el equipo de seguridad implemente con precisión recursos limitados en los enlaces más vulnerables para maximizar la eficiencia de la defensa.
En su organización, ¿depende actualmente más de la respuesta de alarma mediante métodos de defensa tradicionales o ya está intentando desarrollar la capacidad de predecir amenazas de forma proactiva? ¿Cuál cree que es el mayor obstáculo para lograr un “conocimiento previo” efectivo? Bienvenido a compartir sus ideas y experiencias prácticas en el área de comentarios. Si este artículo le resulta inspirador, dale me gusta y compártelo con más colegas preocupados por el futuro de la seguridad.
Deja una respuesta