un-ciclo-interminable-demasiado-poco-demasiado-tarde (1) (1)

Vista previa del material en texto

Un ciclo interminable 
“Demasiado poco, demasiado tarde”
Los CISO necesitan automatización completa para 
dejar de ser reactivos y empezar a ser proactivos
WHITE PAPER
2
Resumen ejecutivo
Muchos CISOs y sus equipos se encuentran abrumados por la gran cantidad 
de tareas que tienen que atender ante el actual panorama de amenazas. Siguen 
atorados en un estado reactivo en lo que respecta a la seguridad y luchan por validar 
y tapar los agujeros de seguridad mientras continúan ejecutando sus operaciones. 
Muchos se están quedando muy rezagados a medida que el ecosistema de 
cibercriminales continúa madurando y las tecnologías se vuelven cada vez más 
sofisticadas. Los ataques son tan implacables que las alertas de seguridad no llegan 
a resolverse debido a limitaciones en el ancho de banda y la rapidez con la que se 
mueven los ataques automatizados, hace que la respuesta manual sea inadecuada 
de cualquier manera.
No hace mucho, la detección y prevención de amenazas estaban claramente definidas, el 
análisis y la respuesta a incidentes eran más tácticos y tanto los buenos como los malos 
se movían a velocidad de ser humano. Pero, a medida que el cibercrimen se acelera 
El 56 % de los ejecutivos sénior 
dice que sus analistas de 
ciberseguridad están abrumados.1
y aumenta el ciber riesgo, protegerse contra las últimas ciberamenazas podría parecer un desafío, incluso para un CISO experimentado.
Lamentablemente, ahora las organizaciones deben proteger una infraestructura ampliamente distribuida que incluye servicios en distintas 
nubes públicas y privadas, tráfico de red en Internet público y conectividad de una gama de dispositivos de Internet de las cosas (IoT) 
de rápido crecimiento.2 Los equipos de ciberseguridad luchan constantemente por mantenerse al día con las nuevas amenazas en 
esta superficie de ataque en expansión, con frecuencia utilizan productos de punto desconectados, lo que aumenta la complejidad de 
la seguridad y requiere una gran cantidad de procesos manuales para coordinar la información y los esfuerzos en una arquitectura de 
seguridad dispersa. Irónicamente, las medidas que se toman para resolver estas amenazas realmente se suman al estrés de proteger una 
organización.
Esto podría implicar problemas para los CISO y sus equipos de seguridad, incluso si el panorama de amenazas fuera estático, lo que 
está muy lejos de la realidad. Por el contrario, el hecho de que las amenazas estén aumentando drásticamente en volumen, velocidad 
y sofisticación aumenta el problema exponencialmente. El resultado: el equipo del CISO está perpetuamente atorado en una condición 
reactiva respecto al cambiante panorama de amenazas. Por este motivo, ellos sienten que siempre están un paso atrás de sus adversarios.
Mayor volumen: agotamiento del equipo de seguridad para amenazas
Dado que los actores de amenazas se mueven activamente para investigar y llevar a cabo métodos más automatizados para la creación, 
prueba y diseminación de malware y otras amenazas, los CISO y sus equipos pueden sentirse abrumados por la enorme cantidad de 
incidentes y alertas. Un estudio detectó que el centro de operaciones de seguridad (SOC) promedio de una organización recibe 10,000 
alertas al día, pero, siendo realistas, un analista solo puede investigar entre 20 y 25 de estas.3 Otro estudio determinó que el 47 % 
de los profesionales de seguridad no cree que su equipo recopile la información adecuada sobre los ataques para tomar una medida 
proactiva.4
Sin embargo, incluso cuando existe información, en muchos casos los equipos de ciberseguridad no tienen capacidad para actuar con 
esa base. En una encuesta, más de un tercio de los profesionales de seguridad colocó como uno de los retos principales de su lista el 
mantenerse al día con la cantidad de alertas de seguridad.5 Y, el 42 % de estos dijo que su organización ignora un número significativo de 
alertas debido a que no puede mantenerse al día con este volumen tan grande.6
Así que, ¿de dónde viene este volumen exponencial? Hay varios factores que contribuyen a esta tendencia. El malware polimórfico 
y dirigido está alcanzando nuevas dimensiones, lo que significa que el número de ataques desconocidos o de día cero está aumentando 
significativamente. Un análisis de FortiGuard Labs muestra que hasta el 40 % de malware detectado en un día en particular es ahora de día 
cero o previamente desconocido.7 Cuando ocurren ataques de día cero, el abrumado personal de ciberseguridad se ve forzado a entrar en 
modo reactivo, haciendo lo que pueden hacer manualmente para remediar las cosas rápidamente, y esto puede ocasionar problemas en el 
largo plazo. 
3
WHITE PAPER | Un ciclo interminable “Demasiado poco, demasiado tarde”: Los CISO necesitan automatización completa para dejar de ser 
reactivos y empezar a ser proactivos
Además de eso, hay cada vez más malware como servicio (MaaS) disponible para 
cibercriminales, sin necesidad de que estos tengan habilidades técnicas para desarrollarlo 
por su cuenta. Esto deja el panorama del cibercrimen abierto a nuevos participantes 
y contribuye con el volumen de ataques. Un reciente informe del panorama de amenazas 
de Fortinet identificó que había al menos tres familias de ransomware y el troyano de la 
banca, Emotet, disponibles como un servicio en la web profunda.8 
Otro factor es el aumento en el desarrollo de aplicaciones usando procesos como DevOps. 
El proceso DevOps por sí mismo crea un nuevo punto de entrada cuya vulnerabilidad de 
seguridad se puede aprovechar y el aumento en el número de aplicaciones se traduce 
en más vulnerabilidades potenciales. Además, estas nuevas aplicaciones a menudo 
interactúan con los dispositivos del IoT que son menos seguros. Un análisis determinó que 
todos los días se suma 1 millón de dispositivos IoT a las redes corporativas, incluyendo 
una proyección que indica que el 25 % de todos los ataques se dirigirán a dispositivos IoT 
a finales de este año.9 Con una superficie de ataque tan amplia para vulnerabilidades, el 
número de amenazas a implementar aumenta de la misma forma.
Mayor velocidad: requiere una respuesta automatizada
Anteriormente, cuando los ciberataques se movían a velocidad de ser humano, con 
personas reales que ejecutaban manualmente cada paso del ataque, los procesos 
manuales tenían una oportunidad viable de atrapar una vulnerabilidad de seguridad 
antes de que causara un daño importante.11 Ahora, los adversarios están automatizados 
y aplican inteligencia artificial (IA) a muchas de sus prácticas, lo que les permite dirigir 
ataques a velocidad de máquina.
Los primeros esfuerzos de automatización de los cibercriminales implicaban medidas 
altamente repetitivas, ejemplificadas por los ataques distribuidos de denegación de servicio 
(DDoS).12 Ahora los adversarios suben las apuestas usando tecnologías emergentes 
“En el mundo del futuro, una IA 
ofensiva podrá alcanzar el mismo 
nivel de sofisticación [de ataque] 
en una fracción del tiempo 
y a una escala mucho mayor”.16
El SOC promedio recibe más 
de 10,000 alertas por día.10
para acelerar la ejecución de todo tipo de ataques. Por ejemplo, ahora hay evidencia de que los adversarios están comenzando a utilizar 
tecnología de enjambre para disminuir el tiempo que se necesita para que un botnet viole un sistema.13 El botnet Hide ‘N Seek IoT es una 
especie de prototipo de este enfoque, “comunicar[se] de forma descentralizada usando comunicaciones personalizadas entre colegas para 
implementar una serie de rutinas maliciosas”.14 Además, los actores de amenazas están empezando a usar IA para permitir que pruebas 
de vulnerabilidad ante datos aleatorios o inesperados aceleradas descubran vulnerabilidades en las nuevas aplicaciones, convirtiendo una 
herramienta de las organizaciones de seguridad legítima en otro método de ataque.15
Todo esto confirma que cualquier paso manual en el proceso de detección y respuesta ante amenazas representa un riesgo para la 
organización. Esto incluye las tareas repetitivasy las que implican intuición y análisis. Las amenazas que se mueven a velocidad de 
máquina sencillamente no pueden detenerse con una acción humana manual.
Mayor sofisticación: lucha por mantener el ritmo de las tácticas avanzadas
Los esfuerzos que hacen los cibercriminales para aumentar la velocidad de sus ataques es tan solo un elemento en el uso que hacen de 
la tecnología avanzada para que sus ataques sean más dirigidos y efectivos. No hace mucho, una solución de antivirus basada en firma 
detuvo un buen porcentaje de amenazas, ya que el malware se producía en masa y se reutilizaba varias veces de la misma forma o se 
cambiaba manualmente para evadir la detección. 
Ese ya no es el caso. De hecho, en la actualidad el 97 % de los virus cambia automáticamente sus características sobre la marcha 
utilizando polimorfismo,17 lo que significa que una firma extraída hace unos minutos puede ser inútil para impedir la propagación del virus. 
Este es un ejemplo de una mayor sofisticación tecnológica inherente al panorama de amenazas de hoy.
Hay muchos otros ejemplos de la creciente sofisticación de las amenazas. Por nombrar algunas: 
nn La suplantación de identidad de objetivo definido mejora la suplantación de identidad tradicional con procesamiento de lenguaje 
natural (NLP) y tecnología de extracción de datos. Esto permite que los cibercriminales se dirijan a personas específicas de una manera 
automatizada con correos electrónicos maliciosos que parecen creíbles de acuerdo con su contexto social y laboral.18
nn El ransomware está siendo más dirigido a organizaciones específicas y, en los últimos meses, los gobiernos locales de EE. UU. han 
sido las víctimas preferidas.19 Estos ataques han paralizado los servicios de los ciudadanos, incurriendo en millones de dólares de 
recompensas y costos remediales en los últimos meses y años.20
4
WHITE PAPER | Un ciclo interminable “Demasiado poco, demasiado tarde”: Los CISO necesitan automatización completa para dejar de ser 
reactivos y empezar a ser proactivos
nn Al igual que con otros vectores de ataque, el cryptojacking (o minería de criptomonedas 
maliciosa) está ahora disponible “como un servicio” para los cibercriminales con menos 
experiencia, y las aplicaciones instaladas en los equipos de las víctimas pueden ralentizar 
el trabajo legítimo hasta casi detenerlo. Estos servicios ahora incluyen nuevas funciones 
que deshabilitan las soluciones de seguridad y abren puertos en firewalls existentes.21
nn Una comunidad de fuente abierta en la red profunda está desarrollando técnicas de 
evasión y antianálisis avanzado. Dichas tácticas pueden permitir que el malware detecte 
cuando se ejecuta un Sandbox o un emulador, o puede deshabilitar las herramientas de 
seguridad en los sistemas infectados.22
nn Los atacantes pueden potencialmente usar IA para desviar los sistemas CAPTCHA que 
verifican que los usuarios son humanos y no bots. Los investigadores fueron capaces de 
evadir el sistema reCAPTCHA de Google el 98 % de las veces.23
Hoy, los cibercriminales utilizan alguna de las tecnologías más avanzadas disponibles 
para alcanzar sus objetivos. El troyano Emotet es un ejemplo de un ataque prototipo que 
es dirigido verdaderamente por IA.24 Se distribuye por correo electrónico y normalmente 
se envía en forma de facturas que se supone que el destinatario adeuda, los autores 
recientemente agregaron un módulo que exfiltra hilos de correo electrónico y permite 
que los ciberatacantes se introduzcan en conversaciones activas usando lenguaje 
contextualmente exacto que es totalmente automatizado. La personificación de usuarios 
confiables de forma convincente aumenta la probabilidad de que los destinatarios abran 
los documentos adjuntos que instalan malware en sus equipos.
A medida que los ciberatacantes se vuelven más sofisticados, los CISO se encuentran 
en una posición en donde constantemente luchan por añadir nuevas armas a su arsenal, 
solo para encontrar que los adversarios han desarrollado una forma aún más avanzada de 
ataque.
Conclusión
La ansiedad que sienten muchos CISO es natural y justificada. El Índice del panorama de 
amenazas de Fortinet, desarrollado hace tan solo un año, lo corroboró. El índice, que trata 
de proporcionar una imagen de la escala y el alcance del panorama de amenazas, hasta 
el momento ha mostrado dos características constantes: alta volatilidad y una tendencia al 
alza en todas las amenazas.26
El aumento constante en el volumen, la velocidad y la sofisticación de los ataques requiere 
un nuevo enfoque de ciberseguridad: que implique una extensa automatización en todo 
el ciclo de vida de la amenaza, desde el reconocimiento inicial del cibercriminal hasta 
sus acciones en los objetivos. No se pueden excluir de la automatización ni siquiera las 
tareas que requieren la toma de decisiones o análisis. Los enfoques de seguridad manual 
sencillamente no pueden mantener el actual ritmo del panorama de amenazas y deben 
complementarse con modelos alternativos.
Los CISO están “no solo 
realizando sus operaciones 
diarias, sino también estudiando 
para conocer nuevos riesgos”.25
“La automatización de los [a]
dversarios se está usando para 
crear y dirigir nuevos ataques a una 
velocidad y con un volumen tal que 
todos los tipos de malware ahora 
deben considerarse como de día 
cero y todos los ataques deben 
considerarse como una amenaza 
persistente avanzada”.27
Copyright © 2020 Fortinet, Inc. Todos los derechos reservados. Fortinet®, FortiGate®, FortiCare®, FortiGuard® y otras marcas son marcas comerciales registradas de Fortinet, Inc., y otros nombres de Fortinet contenidos en este documento también 
pueden ser nombres registrados y/o marcas comerciales de Fortinet conforme a la ley. El resto de los nombres de productos o de empresas pueden ser marcas registradas de sus respectivos propietarios. Los datos de rendimiento y otros indicadores 
contenidos en este documento se han obtenido a partir de pruebas internas de laboratorio bajo condiciones ideales, de forma que el rendimiento real y otros resultados pueden variar. Las variables propias de la red, los entornos de red diferentes y 
otras condiciones pueden afectar los resultados del rendimiento. Nada de lo contenido en este documento representa un compromiso vinculante de Fortinet, y Fortinet renuncia a cualquier garantía, expresa o implícita, salvo en los casos en los que 
Fortinet celebre un contrato vinculante por escrito, firmado por el director del Departamento Jurídico de Fortinet, con un comprador, en el que se garantice expresamente que el producto identificado cumplirá un determinado indicador de rendimiento 
expresamente identificado y, en tal caso, solamente el indicador de rendimiento específico expresamente identificado en dicho contrato por escrito será vinculante para Fortinet. Para dejarlo absolutamente claro, cualquier garantía de este tipo se verá 
limitada al rendimiento en las mismas condiciones ideales que las de las pruebas de laboratorio internas de Fortinet. Fortinet no se hace en absoluto responsable de ningún pacto, declaración y garantía en virtud de este documento, de forma expresa o 
implícita. Fortinet se reserva el derecho de cambiar, modificar, transferir o revisar de cualquier otro modo esta publicación sin previo aviso, siendo aplicable la versión más actual de la misma.
www.fortinet.com
julio 6, 2020 1:31 p. m.
E:\PRACE\ARGOS\2020\07 2020\A-358992-1114249\Work\es-MX\wp-FA-an-endless-cycle-of-too-little-too-late_es-MX\wp-FA-an-endless-cycle-of-too-little-too-late_es-MX
WHITE PAPER | Un ciclo interminable “Demasiado poco, demasiado tarde”: Los CISO necesitan automatización completa para dejar de ser 
reactivos y empezar a ser proactivos
1 “Reinventing Cybersecurity with Artificial Intelligence: A new frontier in digital security”, Capgemini, consultado el 27 de enero de 2020.
2 “25% Of Cyberattacks Will Target IoT In 2020”, Retail TouchPoints, consultado el 27 de enero de 2020.
3 Barbara Filkins, “An Evaluator’s Guideto NextGen SIEM”, SANS Institute, 6 de diciembre de 2018.
4 “Security Teams Overwhelmed by Rising Volume of Attacks”, Dark Reading, 31 de mayo de 2017.
5 Jon Oltsik, “Dealing with Overwhelming Volumes of Security Alerts”, ESG, 3 de marzo de 2017
6 Ibid.
7 Según datos internos de FortiGuard Labs.
8 “Informe de Panorama de Amenazas T3 2019”, Fortinet, 2019.
9 “25% Of Cyberattacks Will Target IoT In 2020”, Retail TouchPoints, consultado el 27 de enero de 2020.
10 Barbara Filkins, “An Evaluator’s Guide to NextGen SIEM”, SANS Institute, 6 de diciembre de 2018.
11 Meg King and Jacob Rosen, “The Real Challenges of Artificial Intelligence: Automating Cyber Attacks”, The Wilson Center, 28 de noviembre de 2018.
12 Ibid.
13 Derek Manky, “The Evolving Threat Landscape—Swarmbots, Hivenets, Automation in Malware”, CSO, 29 de agosto de 2018.
14 Ibid.
15 Derek Manky, “Using Fuzzing to Mine for Zero-Days”, Threatpost, 7 de diciembre de 2018.
16 William Dixon and Nicole Eagan, “3 ways AI will change the nature of cyber attacks”, World Economic Forum, 19 de junio de 2019.
17 Kevin Williams, “Threat Spotlight: Advanced polymorphic malware”, SmarterMSP.com, 13 de junio de 2018.
18 Meg King and Jacob Rosen, “The Real Challenges of Artificial Intelligence: Automating Cyber Attacks”, The Wilson Center, 28 de noviembre de 2018.
19 “Threat Landscape Report Q2 2019”, Fortinet, 2019.
20 Niraj Chokshi, “Hackers Are Holding Baltimore Hostage: How They Struck and What’s Next”, The New York Times, 22 de mayo de 2019; Samuel Gibbs, 
“Ransomware attack on San Francisco public transit gives everyone a free ride”, The Guardian, 28 de noviembre de 2018.
21 Jon Bove, “An Approach for Securing Advanced Threats for Your Customers”, Fortinet, 30 de enero de 2019.
22 “Threat Landscape Report Q2 2019”, Fortinet, 2019.
23 Stephen Helm, “Artificial Intelligence Part 2: Cyber Criminals Get Smart with AI”, Secplicity, 27 de agosto de 2018.
24 Meg King and Jacob Rosen, “The Real Challenges of Artificial Intelligence: Automating Cyber Attacks”, The Wilson Center, 28 de noviembre de 2018.
25 Quote from survey respondent, “The CISO and Cybersecurity: A Report on Current Priorities and Challenges”, Fortinet, 26 de abril de 2019.
26 “Threat Landscape Report Q1 2019”, Fortinet, 2019.
27 Saumitra Das, “When Every Attack Is a Zero Day”, Dark Reading, 23 de abril de 2019.
595005-0-0-ES
https://www.capgemini.com/research/reinventing-cybersecurity-with-artificial-intelligence/
https://www.retailtouchpoints.com/resources/type/infographics/25-of-cyberattacks-will-target-iot-in-2020
https://www.sans.org/reading-room/whitepapers/analyst/membership/38720
https://www.darkreading.com/security-teams-overwhelmed-by-rising-volume-of-attacks/d/d-id/1329015
https://www.esg-global.com/blog/dealing-with-overwhelming-volume-of-security-alerts
https://www.fortinet.com/blog/threat-research/fortinet-q3-threat-landscape-report.html
https://www.retailtouchpoints.com/resources/type/infographics/25-of-cyberattacks-will-target-iot-in-2020
https://www.sans.org/reading-room/whitepapers/analyst/membership/38720
https://www.wilsoncenter.org/blog-post/the-real-challenges-artificial-intelligence-automating-cyber-attacks
https://www.csoonline.com/article/3301148/security/the-evolving-threat-landscape-swarmbots-hivenets-automation-in-malware.html
https://threatpost.com/using-fuzzing-to-mine-for-zero-days/139683/
https://www.weforum.org/agenda/2019/06/ai-is-powering-a-new-generation-of-cyberattack-its-also-our-best-defence/
http://smartermsp.com/advanced-polymorphic-malware/
https://www.wilsoncenter.org/blog-post/the-real-challenges-artificial-intelligence-automating-cyber-attacks
https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-report-q2-2019.pdf
https://www.nytimes.com/2019/05/22/us/baltimore-ransomware.html
https://www.theguardian.com/technology/2016/nov/28/passengers-free-ride-san-francisco-muni-ransomeware
https://www.fortinet.com/blog/partners/securing-advanced-threats-for-customers--a-learn--segment--prote.html
https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-report-q2-2019.pdf
https://www.secplicity.org/2018/08/27/artificial-intelligence-part-2-cyber-criminals-get-smart-with-ai/
https://www.wilsoncenter.org/blog-post/the-real-challenges-artificial-intelligence-automating-cyber-attacks
https://www.fortinet.com/content/dam/maindam/PUBLIC/02_MARKETING/08_Report/report-ciso-and-cybersecurity.pdf
https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-report-q1-2019.pdf
https://www.darkreading.com/vulnerabilities---threats/when-every-attack-is-a-zero-day/a/d-id/1334468