Al observar la situación general de las amenazas, la cantidad de ataques cibernéticos a las empresas y los informes de hackeos exitosos, los ciberdelincuentes siempre parecen estar un paso por delante de la seguridad de TI con sus ataques innovadores. Un alegato para construir una estrategia de ciberseguridad a largo plazo.
No es de extrañar: muchos CISO y CIO se preocupan principalmente por mitigar los ataques que ocurren en el momento en lugar de mirar el panorama de amenazas en constante evolución a largo plazo. Con una estrategia de seguridad cibernética integral y a largo plazo, las empresas estarían mucho más armadas contra futuros ataques. A pesar de la gran cantidad de ataques en el presente, esto es bastante posible, porque el futuro no es tan incierto como podría pensarse. Muchas amenazas nuevas son evoluciones sofisticadas de vectores de ataque existentes.
Nuevas amenazas, viejos vectores de ataque
En muchos sentidos, la propia industria de la seguridad tiene la culpa de la actual "estrategia miope". Muchos proveedores de tecnología utilizan el miedo y la incertidumbre de los clientes como herramienta de ventas, alegando que la ciberseguridad está evolucionando tan rápidamente que no se sabe qué vendrá después. Si bien este enfoque que fomenta el miedo en la práctica de la toma de decisiones puede ayudar a vender los últimos productos de seguridad, también fomenta activamente una mentalidad a corto plazo. Si bien es cierto que surgen nuevas amenazas todo el tiempo, muchos de los vectores de ataque en los que se basan han cambiado poco en las últimas décadas. Si bien las organizaciones criminales atacaron los mainframes en las décadas de XNUMX y XNUMX, hoy atacan las plataformas en la nube, pero utilizan tácticas y técnicas muy similares.
Por ejemplo, casi todos los ataques a las redes corporativas modernas son el resultado de un phishing selectivo exitoso. La técnica existe desde hace al menos una década, mientras que el phishing existe desde la década de 90. Además, la ingeniería social es un factor clave en casi todos los ciberataques. Estos métodos de ataque no son en absoluto nuevos, ni tampoco lo son las principales estrategias de defensa frente a ellos: la formación periódica en ciberseguridad y la detección rápida de comportamientos “anormales” de los usuarios en la red.
Ciberseguridad con automatización y ML
Quizás la mayor diferencia entre entonces y ahora es la escala. Con el tiempo, los gigabytes se han convertido en terabytes y petabytes. La forma en que las personas trabajan en organizaciones ampliamente distribuidas en un mundo globalizado, a menudo en movimiento o desde su oficina en casa, ha cambiado significativamente en la última década. Todo esto hace que sea mucho más difícil para los equipos de seguridad controlar los datos confidenciales y detectar patrones de comportamiento anómalos.
Afortunadamente, el análisis de datos y la detección de anomalías es un área en la que las tecnologías recientemente desarrolladas realmente pueden marcar la diferencia. Los avances en automatización y aprendizaje automático, por ejemplo, significan que las empresas ahora están construyendo plataformas que pueden eliminar gran parte del trabajo manual de los equipos de seguridad. Los costos de estas tecnologías también están cayendo. Una vez reservado para las empresas más grandes, las empresas de todos los tamaños ahora pueden aprovechar estas nuevas tecnologías.
El futuro no es tan incierto como algunos piensan
A pesar de estos avances, muchos proveedores de la industria de la ciberseguridad continúan promocionando el factor miedo: afirman que la computación cuántica será el próximo hito para los ciberdelincuentes porque hará que sea mucho más fácil descifrar el cifrado y las contraseñas. Los ciberdelincuentes también están aumentando la tasa de sus ataques gracias a la automatización y colaborando de manera mucho más efectiva, por ejemplo, a través de "Hackeo como servicio" al compartir herramientas de día cero y datos de nombre de usuario/contraseña, lo que reduce significativamente la dependencia de las técnicas de ingeniería social.
Si bien eso puede ser cierto, todavía no hay razón para entrar en pánico. Porque incluso si los delincuentes pudieran obtener acceso a las redes sin utilizar la ingeniería social, ya existen tecnologías como User & Entity Behavior Analytics (UEBA) que pueden contrarrestar esto. UEBA funciona comparando el comportamiento de los usuarios y dispositivos legítimos (entidades) en la red durante un período de tiempo, estableciendo parámetros de "actividad normal" en función de criterios clave como la ubicación geográfica, las horas de inicio de sesión y el acceso a los archivos. Si el comportamiento de un usuario se desvía demasiado del comportamiento normal conocido, como iniciar sesión desde China a las XNUMX a. m. cuando normalmente inicia sesión en la red desde Múnich durante el horario laboral normal, este comportamiento se informa automáticamente como sospechoso al equipo de seguridad.
Análisis de comportamiento en lugar de guerra tecnológica
Incluso si los delincuentes usaran computación cuántica en lugar de ingeniería social para descifrar las credenciales de un usuario, su comportamiento en la red los atrapará rápidamente. El otro beneficio importante de usar análisis de comportamiento es que cualquier dato de actividad relevante de otros flujos de actividad se puede unir automáticamente en alertas de incidentes. Esto brinda a los equipos de seguridad un contexto instantáneo sobre el nivel de riesgo de un evento, lo que respalda una respuesta mucho más efectiva y la mitigación de las consecuencias del ataque.
Conclusión: ampliar la planificación de la ciberseguridad
A pesar de lo que digan ciertos rincones de la industria de la ciberseguridad, es posible planificar mucho más allá de lo que muchas organizaciones creen. Surgen nuevas amenazas todo el tiempo, pero cuando las observa más de cerca, se hace evidente cuán sorprendentemente similares son a los ataques más antiguos. Al mismo tiempo, las tecnologías utilizadas para defenderse de estos ataques, que se han mantenido muy similares, han evolucionado significativamente gracias a los avances en el aprendizaje automático y la automatización. Así que ya no hay razón para no preocuparse o planear para el futuro. Con eso en mente, es hora de pasar de pensar en la seguridad cibernética en ciclos presupuestarios estándar de tres a cinco años a cómo extender efectivamente la planificación más allá de los horizontes de diez años. Si bien no conocemos los detalles de lo que vendrá, es probable que parezca mucho más familiar de lo que pensamos.
Más información en Exabeam.com[ID de starbox = 17]