Las organizaciones emplearán más automatización para combatir las ciberamenazas en 2019

¿Cuáles serán los métodos y estrategias que emplearán los cibercriminales en el futuro? ¿Cuáles serán los cambios de estrategia que ayudarán a las organizaciones a defenderse de estos ataques?. Las predicciones de Fortinet para 2019 son las siguientes:

Los ataques cibernéticos se volverán más inteligentes y sofisticados

Para muchas organizaciones delictivas, las técnicas de ataque se evalúan no solo en términos de eficacia, sino también teniendo en cuenta los gastos generales necesarios para desarrollarlas, modificarlas y aplicarlas. Como resultado, muchas de sus estrategias de ataque pueden ser interrumpidas al abordar el modelo económico empleado por los ciberdelincuentes. Los cambios estratégicos en el personal, los procesos y las tecnologías pueden obligar a algunas organizaciones ciberdelincuentes a reconsiderar el coste de dirigirse a determinadas organizaciones.

Una de las formas en que las organizaciones están haciendo esto es adoptando nuevas tecnologías y estrategias, como el machine learning y la automatización, para realizar actividades tediosas que requieren mucho tiempo y que normalmente exigen un alto grado de supervisión e intervención humana. Es probable que estas nuevas estrategias defensivas tengan un impacto en las estrategias ciberdelictivas, lo que les obligará a cambiar los métodos de ataque y acelerar sus propios esfuerzos de desarrollo.

En un afán por adaptarse al creciente uso del machine learning y la automatización, prevemos que es probable que la comunidad delictiva cibernética adopte las siguientes estrategias y que la industria de la ciberseguridad en su conjunto tendrá que seguir de cerca.

• Fuzzing de Inteligencia Artificial (AIF) y vulnerabilidades: El Fuzzing ha sido tradicionalmente una técnica sofisticada utilizada en entornos de laboratorio por investigadores profesionales de amenazas para descubrir vulnerabilidades en interfaces y aplicaciones de hardware y software. Para ello, introducen datos no válidos, inesperados o semiautomáticos en una interfaz o programa y, a continuación, supervisan eventos tales como caídas, saltos indocumentados a rutinas de depuración, afirmaciones de código erróneas y posibles fugas de memoria. Históricamente, esta técnica se ha limitado a un grupo de ingenieros altamente cualificados que trabajan en entornos de laboratorio. Sin embargo, a medida que los modelos de machine learning se aplican a este proceso, predecimos que esta técnica no solo será más eficiente y adaptada, sino que estará disponible para una gama más amplia de individuos menos técnicos. Una vez que los ciberdelincuentes empiecen a aprovechar el machine learning para desarrollar programas de fuzzing automatizados, podrán acelerar el proceso para descubrir vulnerabilidades de día cero, lo que llevará a un aumento de los ataques de día cero dirigidos a diferentes programas y plataformas.

o    Minería de día cero usando AIF: Una vez que la extensión AIF está en su lugar, se puede apuntar al código dentro de un entorno controlado para extraerlo en busca de exploits de día cero. Esto acelerará significativamente la velocidad a la que se introducen las explotaciones de día cero. Una vez que este proceso se haya racionalizado, se habilitará la minería como servicio de día cero, creando ataques personalizados para objetivos individuales. Esto cambiará drásticamente la forma en que las organizaciones deben abordar la seguridad, ya que no habrá manera de anticipar dónde aparecerán estos días cero, ni cómo defenderse adecuadamente de ellos. Esto será especialmente difícil cuando se utilicen muchas herramientas de seguridad aisladas o heredadas que muchas organizaciones han desplegado en sus redes hoy en día.

o    El “precio” de los días cero: Históricamente, el precio de los exploits de día cero ha sido bastante alto, principalmente por el tiempo, el esfuerzo y la habilidad necesarios para descubrirlos. A medida que la tecnología de IA se va aplicando, estos exploits pasarán de ser extremadamente raros a convertirse en una mercancía. Ya hemos sido testigos de la mercantilización de los exploits más tradicionales, como los programas de rescate y las redes de bots, y los resultados han llevado a muchas soluciones de seguridad tradicionales a sus límites. La aceleración en el número y variedad de vulnerabilidades y exploits disponibles, incluyendo la habilidad de producir rápidamente exploits de día cero y proveerlos como un servicio, puede impactar radicalmente en los tipos y costes de los servicios disponibles en la dark web.

• Swarm-as-a-Service: Los avances significativos en ataques sofisticados impulsados por la tecnología de inteligencia basada en enjambres acercan a la realidad de las redes de bots basadas en enjambres conocidas como hivenets. Esta nueva generación de amenazas se utilizará para crear grandes enjambres de robots inteligentes que puedan operar de forma colaborativa y autónoma. Estas redes de enjambres no solo elevarán el listón en cuanto a las tecnologías necesarias para defender a las organizaciones, sino que, al igual que la minería de día cero, también tendrán un impacto en el modelo de negocio ciberdelictivo subyacente. En última instancia, a medida que evolucionen las tecnologías de explotación y las metodologías de ataque, su impacto más significativo será en los modelos de negocio empleados por la comunidad delictiva cibernética.

En la actualidad, el ecosistema delictivo está muy impulsado por las personas. Algunos hackers profesionales construyen exploits a medida por un precio, e incluso los nuevos avances como Ransomware-as-a-Service requieren que los ingenieros de Black Hat soporten diferentes recursos, como la construcción y las pruebas de exploits y la gestión de servidores C2 de back-end. Pero cuando se trata de ofrecer un servicio autónomo y autodidacta, la cantidad de interacción directa entre un cliente hacker y un black hat caerá drásticamente.

• Enjambres a la carta: La capacidad de subdividir un enjambre en diferentes tareas para lograr un resultado deseado es muy similar a la forma en que el mundo ha avanzado hacia la virtualización. En una red virtualizada, los recursos pueden girar hacia arriba o hacia abajo en las máquinas virtuales, basándose completamente en la necesidad de abordar problemas particulares como el ancho de banda. Del mismo modo, los recursos de una red de enjambres podrían asignarse o reasignarse para hacer frente a problemas específicos que se plantean en una cadena de ataques. Un enjambre que los empresarios criminales ya han preprogramado con una serie de herramientas de análisis y exploits, combinado con protocolos de autoaprendizaje que les permiten trabajar como grupo para refinar sus protocolos de ataque, hace que para los ciberdelincuentes un ataque sea tan simple como seleccionar un menú a la carta.
• Aprendizaje del Machine Learning: El aprendizaje automático es una de las herramientas más prometedoras en seguridad defensiva. Los dispositivos y sistemas de seguridad pueden ser entrenados para realizar tareas específicas de manera autónoma, tales como comportamientos de línea base, aplicación de análisis de comportamiento para identificar amenazas sofisticadas, o rastreo y parcheo de dispositivos. Desafortunadamente, este proceso también puede ser explotado por los ciberdelincuentes. Al centrarse en el machine learning, estos podrán entrenar a los dispositivos o sistemas para que no apliquen parches o actualizaciones a un dispositivo en particular, para que ignoren tipos concretos de aplicaciones o comportamientos, o para que no registren el tráfico específico a fin de evadir la detección. Esto tendrá un importante impacto evolutivo en el futuro del aprendizaje automático y la tecnología de IA.

Las defensas se volverán más sofisticadas

Para contrarrestar estos ataques, las organizaciones tendrán que seguir elevando el listón de los ciberdelincuentes. Cada una de las siguientes estrategias de predicción defensivas tendrá un impacto en las organizaciones ciberdelictivas, obligándoles a cambiar de táctica, modificar los ataques y desarrollar nuevas formas de evaluar las oportunidades. El coste de lanzar sus ataques aumentará, lo que requerirá que los desarrolladores criminales gasten más recursos para conseguir el mismo resultado, o que encuentren una red más accesible para explotar.

• Tácticas Avanzadas de Engaño: La integración de técnicas de engaño en las estrategias de seguridad para introducir variaciones en la red basadas en información falsa obligará a los atacantes a validar continuamente su información sobre amenazas, gastar tiempo y recursos para detectar falsos positivos y garantizar que los recursos de red que pueden ver son realmente legítimos. Dado que cualquier ataque a recursos de red falsos puede ser detectado inmediatamente, desencadenando medidas de defensa, los atacantes tendrán que ser extremadamente cautelosos a la hora de realizar incluso tácticas básicas como sondear una red.
• Colaboración Abierta Unificada: Una de las maneras más fáciles para que un cibercriminal maximice la inversión en un ataque y consiga evitar ser detectado consiste simplemente en hacer un mínimo cambio, incluso algo tan básico como modificar una dirección IP. Una forma eficaz de mantenerse al día con estos cambios es compartir activamente la información sobre amenazas. Una información sobre amenazas actualizada permite a los proveedores de seguridad y a sus clientes estar al tanto del panorama de amenazas más reciente. Los esfuerzos de colaboración abierta entre organizaciones de investigación de amenazas, alianzas industriales, fabricantes de seguridad y organismos encargados de hacer cumplir la ley acortarán significativamente el tiempo para detectar nuevas amenazas, al exponer y compartir las tácticas utilizadas por los atacantes. Sin embargo, en lugar de limitarse a responder, la aplicación de análisis de comportamiento a las fuentes de datos en tiempo real mediante la colaboración abierta permitirá a los defensores predecir el comportamiento del malware, evitando así el modelo actual utilizado por los ciberdelincuentes para aprovechar repetidamente el malware existente a través de cambios mínimos.

La velocidad, la integración y la automatización son fundamentales para la ciberseguridad

No existe una estrategia de defensa futura que implique una automatización o el machine learning sin un medio para recopilar, procesar y actuar sobre la información de amenazas en una respuesta inteligente. Para hacer frente a la creciente sofisticación de las amenazas, las organizaciones deben integrar todos los elementos de seguridad en un tejido de seguridad para encontrar y responder a las amenazas a gran velocidad y escala. La inteligencia avanzada de amenazas correlacionada y compartida entre todos los elementos de seguridad debe automatizarse para reducir las ventanas de detección necesarias y proporcionar una solución rápida. La integración de productos puntuales desplegados a través de la red distribuida, combinada con la segmentación, estratégica, ayudará significativamente a combatir la naturaleza cada vez más inteligente y automatizada de los ataques.

La entrada Las organizaciones emplearán más automatización para combatir las ciberamenazas en 2019 aparece primero en Globb Security.