Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Un ciclo interminable “Demasiado poco, demasiado tarde” Los CISO necesitan automatización completa para dejar de ser reactivos y empezar a ser proactivos WHITE PAPER 2 Resumen ejecutivo Muchos CISOs y sus equipos se encuentran abrumados por la gran cantidad de tareas que tienen que atender ante el actual panorama de amenazas. Siguen atorados en un estado reactivo en lo que respecta a la seguridad y luchan por validar y tapar los agujeros de seguridad mientras continúan ejecutando sus operaciones. Muchos se están quedando muy rezagados a medida que el ecosistema de cibercriminales continúa madurando y las tecnologías se vuelven cada vez más sofisticadas. Los ataques son tan implacables que las alertas de seguridad no llegan a resolverse debido a limitaciones en el ancho de banda y la rapidez con la que se mueven los ataques automatizados, hace que la respuesta manual sea inadecuada de cualquier manera. No hace mucho, la detección y prevención de amenazas estaban claramente definidas, el análisis y la respuesta a incidentes eran más tácticos y tanto los buenos como los malos se movían a velocidad de ser humano. Pero, a medida que el cibercrimen se acelera El 56 % de los ejecutivos sénior dice que sus analistas de ciberseguridad están abrumados.1 y aumenta el ciber riesgo, protegerse contra las últimas ciberamenazas podría parecer un desafío, incluso para un CISO experimentado. Lamentablemente, ahora las organizaciones deben proteger una infraestructura ampliamente distribuida que incluye servicios en distintas nubes públicas y privadas, tráfico de red en Internet público y conectividad de una gama de dispositivos de Internet de las cosas (IoT) de rápido crecimiento.2 Los equipos de ciberseguridad luchan constantemente por mantenerse al día con las nuevas amenazas en esta superficie de ataque en expansión, con frecuencia utilizan productos de punto desconectados, lo que aumenta la complejidad de la seguridad y requiere una gran cantidad de procesos manuales para coordinar la información y los esfuerzos en una arquitectura de seguridad dispersa. Irónicamente, las medidas que se toman para resolver estas amenazas realmente se suman al estrés de proteger una organización. Esto podría implicar problemas para los CISO y sus equipos de seguridad, incluso si el panorama de amenazas fuera estático, lo que está muy lejos de la realidad. Por el contrario, el hecho de que las amenazas estén aumentando drásticamente en volumen, velocidad y sofisticación aumenta el problema exponencialmente. El resultado: el equipo del CISO está perpetuamente atorado en una condición reactiva respecto al cambiante panorama de amenazas. Por este motivo, ellos sienten que siempre están un paso atrás de sus adversarios. Mayor volumen: agotamiento del equipo de seguridad para amenazas Dado que los actores de amenazas se mueven activamente para investigar y llevar a cabo métodos más automatizados para la creación, prueba y diseminación de malware y otras amenazas, los CISO y sus equipos pueden sentirse abrumados por la enorme cantidad de incidentes y alertas. Un estudio detectó que el centro de operaciones de seguridad (SOC) promedio de una organización recibe 10,000 alertas al día, pero, siendo realistas, un analista solo puede investigar entre 20 y 25 de estas.3 Otro estudio determinó que el 47 % de los profesionales de seguridad no cree que su equipo recopile la información adecuada sobre los ataques para tomar una medida proactiva.4 Sin embargo, incluso cuando existe información, en muchos casos los equipos de ciberseguridad no tienen capacidad para actuar con esa base. En una encuesta, más de un tercio de los profesionales de seguridad colocó como uno de los retos principales de su lista el mantenerse al día con la cantidad de alertas de seguridad.5 Y, el 42 % de estos dijo que su organización ignora un número significativo de alertas debido a que no puede mantenerse al día con este volumen tan grande.6 Así que, ¿de dónde viene este volumen exponencial? Hay varios factores que contribuyen a esta tendencia. El malware polimórfico y dirigido está alcanzando nuevas dimensiones, lo que significa que el número de ataques desconocidos o de día cero está aumentando significativamente. Un análisis de FortiGuard Labs muestra que hasta el 40 % de malware detectado en un día en particular es ahora de día cero o previamente desconocido.7 Cuando ocurren ataques de día cero, el abrumado personal de ciberseguridad se ve forzado a entrar en modo reactivo, haciendo lo que pueden hacer manualmente para remediar las cosas rápidamente, y esto puede ocasionar problemas en el largo plazo. 3 WHITE PAPER | Un ciclo interminable “Demasiado poco, demasiado tarde”: Los CISO necesitan automatización completa para dejar de ser reactivos y empezar a ser proactivos Además de eso, hay cada vez más malware como servicio (MaaS) disponible para cibercriminales, sin necesidad de que estos tengan habilidades técnicas para desarrollarlo por su cuenta. Esto deja el panorama del cibercrimen abierto a nuevos participantes y contribuye con el volumen de ataques. Un reciente informe del panorama de amenazas de Fortinet identificó que había al menos tres familias de ransomware y el troyano de la banca, Emotet, disponibles como un servicio en la web profunda.8 Otro factor es el aumento en el desarrollo de aplicaciones usando procesos como DevOps. El proceso DevOps por sí mismo crea un nuevo punto de entrada cuya vulnerabilidad de seguridad se puede aprovechar y el aumento en el número de aplicaciones se traduce en más vulnerabilidades potenciales. Además, estas nuevas aplicaciones a menudo interactúan con los dispositivos del IoT que son menos seguros. Un análisis determinó que todos los días se suma 1 millón de dispositivos IoT a las redes corporativas, incluyendo una proyección que indica que el 25 % de todos los ataques se dirigirán a dispositivos IoT a finales de este año.9 Con una superficie de ataque tan amplia para vulnerabilidades, el número de amenazas a implementar aumenta de la misma forma. Mayor velocidad: requiere una respuesta automatizada Anteriormente, cuando los ciberataques se movían a velocidad de ser humano, con personas reales que ejecutaban manualmente cada paso del ataque, los procesos manuales tenían una oportunidad viable de atrapar una vulnerabilidad de seguridad antes de que causara un daño importante.11 Ahora, los adversarios están automatizados y aplican inteligencia artificial (IA) a muchas de sus prácticas, lo que les permite dirigir ataques a velocidad de máquina. Los primeros esfuerzos de automatización de los cibercriminales implicaban medidas altamente repetitivas, ejemplificadas por los ataques distribuidos de denegación de servicio (DDoS).12 Ahora los adversarios suben las apuestas usando tecnologías emergentes “En el mundo del futuro, una IA ofensiva podrá alcanzar el mismo nivel de sofisticación [de ataque] en una fracción del tiempo y a una escala mucho mayor”.16 El SOC promedio recibe más de 10,000 alertas por día.10 para acelerar la ejecución de todo tipo de ataques. Por ejemplo, ahora hay evidencia de que los adversarios están comenzando a utilizar tecnología de enjambre para disminuir el tiempo que se necesita para que un botnet viole un sistema.13 El botnet Hide ‘N Seek IoT es una especie de prototipo de este enfoque, “comunicar[se] de forma descentralizada usando comunicaciones personalizadas entre colegas para implementar una serie de rutinas maliciosas”.14 Además, los actores de amenazas están empezando a usar IA para permitir que pruebas de vulnerabilidad ante datos aleatorios o inesperados aceleradas descubran vulnerabilidades en las nuevas aplicaciones, convirtiendo una herramienta de las organizaciones de seguridad legítima en otro método de ataque.15 Todo esto confirma que cualquier paso manual en el proceso de detección y respuesta ante amenazas representa un riesgo para la organización. Esto incluye las tareas repetitivasy las que implican intuición y análisis. Las amenazas que se mueven a velocidad de máquina sencillamente no pueden detenerse con una acción humana manual. Mayor sofisticación: lucha por mantener el ritmo de las tácticas avanzadas Los esfuerzos que hacen los cibercriminales para aumentar la velocidad de sus ataques es tan solo un elemento en el uso que hacen de la tecnología avanzada para que sus ataques sean más dirigidos y efectivos. No hace mucho, una solución de antivirus basada en firma detuvo un buen porcentaje de amenazas, ya que el malware se producía en masa y se reutilizaba varias veces de la misma forma o se cambiaba manualmente para evadir la detección. Ese ya no es el caso. De hecho, en la actualidad el 97 % de los virus cambia automáticamente sus características sobre la marcha utilizando polimorfismo,17 lo que significa que una firma extraída hace unos minutos puede ser inútil para impedir la propagación del virus. Este es un ejemplo de una mayor sofisticación tecnológica inherente al panorama de amenazas de hoy. Hay muchos otros ejemplos de la creciente sofisticación de las amenazas. Por nombrar algunas: nn La suplantación de identidad de objetivo definido mejora la suplantación de identidad tradicional con procesamiento de lenguaje natural (NLP) y tecnología de extracción de datos. Esto permite que los cibercriminales se dirijan a personas específicas de una manera automatizada con correos electrónicos maliciosos que parecen creíbles de acuerdo con su contexto social y laboral.18 nn El ransomware está siendo más dirigido a organizaciones específicas y, en los últimos meses, los gobiernos locales de EE. UU. han sido las víctimas preferidas.19 Estos ataques han paralizado los servicios de los ciudadanos, incurriendo en millones de dólares de recompensas y costos remediales en los últimos meses y años.20 4 WHITE PAPER | Un ciclo interminable “Demasiado poco, demasiado tarde”: Los CISO necesitan automatización completa para dejar de ser reactivos y empezar a ser proactivos nn Al igual que con otros vectores de ataque, el cryptojacking (o minería de criptomonedas maliciosa) está ahora disponible “como un servicio” para los cibercriminales con menos experiencia, y las aplicaciones instaladas en los equipos de las víctimas pueden ralentizar el trabajo legítimo hasta casi detenerlo. Estos servicios ahora incluyen nuevas funciones que deshabilitan las soluciones de seguridad y abren puertos en firewalls existentes.21 nn Una comunidad de fuente abierta en la red profunda está desarrollando técnicas de evasión y antianálisis avanzado. Dichas tácticas pueden permitir que el malware detecte cuando se ejecuta un Sandbox o un emulador, o puede deshabilitar las herramientas de seguridad en los sistemas infectados.22 nn Los atacantes pueden potencialmente usar IA para desviar los sistemas CAPTCHA que verifican que los usuarios son humanos y no bots. Los investigadores fueron capaces de evadir el sistema reCAPTCHA de Google el 98 % de las veces.23 Hoy, los cibercriminales utilizan alguna de las tecnologías más avanzadas disponibles para alcanzar sus objetivos. El troyano Emotet es un ejemplo de un ataque prototipo que es dirigido verdaderamente por IA.24 Se distribuye por correo electrónico y normalmente se envía en forma de facturas que se supone que el destinatario adeuda, los autores recientemente agregaron un módulo que exfiltra hilos de correo electrónico y permite que los ciberatacantes se introduzcan en conversaciones activas usando lenguaje contextualmente exacto que es totalmente automatizado. La personificación de usuarios confiables de forma convincente aumenta la probabilidad de que los destinatarios abran los documentos adjuntos que instalan malware en sus equipos. A medida que los ciberatacantes se vuelven más sofisticados, los CISO se encuentran en una posición en donde constantemente luchan por añadir nuevas armas a su arsenal, solo para encontrar que los adversarios han desarrollado una forma aún más avanzada de ataque. Conclusión La ansiedad que sienten muchos CISO es natural y justificada. El Índice del panorama de amenazas de Fortinet, desarrollado hace tan solo un año, lo corroboró. El índice, que trata de proporcionar una imagen de la escala y el alcance del panorama de amenazas, hasta el momento ha mostrado dos características constantes: alta volatilidad y una tendencia al alza en todas las amenazas.26 El aumento constante en el volumen, la velocidad y la sofisticación de los ataques requiere un nuevo enfoque de ciberseguridad: que implique una extensa automatización en todo el ciclo de vida de la amenaza, desde el reconocimiento inicial del cibercriminal hasta sus acciones en los objetivos. No se pueden excluir de la automatización ni siquiera las tareas que requieren la toma de decisiones o análisis. Los enfoques de seguridad manual sencillamente no pueden mantener el actual ritmo del panorama de amenazas y deben complementarse con modelos alternativos. Los CISO están “no solo realizando sus operaciones diarias, sino también estudiando para conocer nuevos riesgos”.25 “La automatización de los [a] dversarios se está usando para crear y dirigir nuevos ataques a una velocidad y con un volumen tal que todos los tipos de malware ahora deben considerarse como de día cero y todos los ataques deben considerarse como una amenaza persistente avanzada”.27 Copyright © 2020 Fortinet, Inc. Todos los derechos reservados. Fortinet®, FortiGate®, FortiCare®, FortiGuard® y otras marcas son marcas comerciales registradas de Fortinet, Inc., y otros nombres de Fortinet contenidos en este documento también pueden ser nombres registrados y/o marcas comerciales de Fortinet conforme a la ley. El resto de los nombres de productos o de empresas pueden ser marcas registradas de sus respectivos propietarios. Los datos de rendimiento y otros indicadores contenidos en este documento se han obtenido a partir de pruebas internas de laboratorio bajo condiciones ideales, de forma que el rendimiento real y otros resultados pueden variar. Las variables propias de la red, los entornos de red diferentes y otras condiciones pueden afectar los resultados del rendimiento. Nada de lo contenido en este documento representa un compromiso vinculante de Fortinet, y Fortinet renuncia a cualquier garantía, expresa o implícita, salvo en los casos en los que Fortinet celebre un contrato vinculante por escrito, firmado por el director del Departamento Jurídico de Fortinet, con un comprador, en el que se garantice expresamente que el producto identificado cumplirá un determinado indicador de rendimiento expresamente identificado y, en tal caso, solamente el indicador de rendimiento específico expresamente identificado en dicho contrato por escrito será vinculante para Fortinet. Para dejarlo absolutamente claro, cualquier garantía de este tipo se verá limitada al rendimiento en las mismas condiciones ideales que las de las pruebas de laboratorio internas de Fortinet. Fortinet no se hace en absoluto responsable de ningún pacto, declaración y garantía en virtud de este documento, de forma expresa o implícita. Fortinet se reserva el derecho de cambiar, modificar, transferir o revisar de cualquier otro modo esta publicación sin previo aviso, siendo aplicable la versión más actual de la misma. www.fortinet.com julio 6, 2020 1:31 p. m. E:\PRACE\ARGOS\2020\07 2020\A-358992-1114249\Work\es-MX\wp-FA-an-endless-cycle-of-too-little-too-late_es-MX\wp-FA-an-endless-cycle-of-too-little-too-late_es-MX WHITE PAPER | Un ciclo interminable “Demasiado poco, demasiado tarde”: Los CISO necesitan automatización completa para dejar de ser reactivos y empezar a ser proactivos 1 “Reinventing Cybersecurity with Artificial Intelligence: A new frontier in digital security”, Capgemini, consultado el 27 de enero de 2020. 2 “25% Of Cyberattacks Will Target IoT In 2020”, Retail TouchPoints, consultado el 27 de enero de 2020. 3 Barbara Filkins, “An Evaluator’s Guideto NextGen SIEM”, SANS Institute, 6 de diciembre de 2018. 4 “Security Teams Overwhelmed by Rising Volume of Attacks”, Dark Reading, 31 de mayo de 2017. 5 Jon Oltsik, “Dealing with Overwhelming Volumes of Security Alerts”, ESG, 3 de marzo de 2017 6 Ibid. 7 Según datos internos de FortiGuard Labs. 8 “Informe de Panorama de Amenazas T3 2019”, Fortinet, 2019. 9 “25% Of Cyberattacks Will Target IoT In 2020”, Retail TouchPoints, consultado el 27 de enero de 2020. 10 Barbara Filkins, “An Evaluator’s Guide to NextGen SIEM”, SANS Institute, 6 de diciembre de 2018. 11 Meg King and Jacob Rosen, “The Real Challenges of Artificial Intelligence: Automating Cyber Attacks”, The Wilson Center, 28 de noviembre de 2018. 12 Ibid. 13 Derek Manky, “The Evolving Threat Landscape—Swarmbots, Hivenets, Automation in Malware”, CSO, 29 de agosto de 2018. 14 Ibid. 15 Derek Manky, “Using Fuzzing to Mine for Zero-Days”, Threatpost, 7 de diciembre de 2018. 16 William Dixon and Nicole Eagan, “3 ways AI will change the nature of cyber attacks”, World Economic Forum, 19 de junio de 2019. 17 Kevin Williams, “Threat Spotlight: Advanced polymorphic malware”, SmarterMSP.com, 13 de junio de 2018. 18 Meg King and Jacob Rosen, “The Real Challenges of Artificial Intelligence: Automating Cyber Attacks”, The Wilson Center, 28 de noviembre de 2018. 19 “Threat Landscape Report Q2 2019”, Fortinet, 2019. 20 Niraj Chokshi, “Hackers Are Holding Baltimore Hostage: How They Struck and What’s Next”, The New York Times, 22 de mayo de 2019; Samuel Gibbs, “Ransomware attack on San Francisco public transit gives everyone a free ride”, The Guardian, 28 de noviembre de 2018. 21 Jon Bove, “An Approach for Securing Advanced Threats for Your Customers”, Fortinet, 30 de enero de 2019. 22 “Threat Landscape Report Q2 2019”, Fortinet, 2019. 23 Stephen Helm, “Artificial Intelligence Part 2: Cyber Criminals Get Smart with AI”, Secplicity, 27 de agosto de 2018. 24 Meg King and Jacob Rosen, “The Real Challenges of Artificial Intelligence: Automating Cyber Attacks”, The Wilson Center, 28 de noviembre de 2018. 25 Quote from survey respondent, “The CISO and Cybersecurity: A Report on Current Priorities and Challenges”, Fortinet, 26 de abril de 2019. 26 “Threat Landscape Report Q1 2019”, Fortinet, 2019. 27 Saumitra Das, “When Every Attack Is a Zero Day”, Dark Reading, 23 de abril de 2019. 595005-0-0-ES https://www.capgemini.com/research/reinventing-cybersecurity-with-artificial-intelligence/ https://www.retailtouchpoints.com/resources/type/infographics/25-of-cyberattacks-will-target-iot-in-2020 https://www.sans.org/reading-room/whitepapers/analyst/membership/38720 https://www.darkreading.com/security-teams-overwhelmed-by-rising-volume-of-attacks/d/d-id/1329015 https://www.esg-global.com/blog/dealing-with-overwhelming-volume-of-security-alerts https://www.fortinet.com/blog/threat-research/fortinet-q3-threat-landscape-report.html https://www.retailtouchpoints.com/resources/type/infographics/25-of-cyberattacks-will-target-iot-in-2020 https://www.sans.org/reading-room/whitepapers/analyst/membership/38720 https://www.wilsoncenter.org/blog-post/the-real-challenges-artificial-intelligence-automating-cyber-attacks https://www.csoonline.com/article/3301148/security/the-evolving-threat-landscape-swarmbots-hivenets-automation-in-malware.html https://threatpost.com/using-fuzzing-to-mine-for-zero-days/139683/ https://www.weforum.org/agenda/2019/06/ai-is-powering-a-new-generation-of-cyberattack-its-also-our-best-defence/ http://smartermsp.com/advanced-polymorphic-malware/ https://www.wilsoncenter.org/blog-post/the-real-challenges-artificial-intelligence-automating-cyber-attacks https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-report-q2-2019.pdf https://www.nytimes.com/2019/05/22/us/baltimore-ransomware.html https://www.theguardian.com/technology/2016/nov/28/passengers-free-ride-san-francisco-muni-ransomeware https://www.fortinet.com/blog/partners/securing-advanced-threats-for-customers--a-learn--segment--prote.html https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-report-q2-2019.pdf https://www.secplicity.org/2018/08/27/artificial-intelligence-part-2-cyber-criminals-get-smart-with-ai/ https://www.wilsoncenter.org/blog-post/the-real-challenges-artificial-intelligence-automating-cyber-attacks https://www.fortinet.com/content/dam/maindam/PUBLIC/02_MARKETING/08_Report/report-ciso-and-cybersecurity.pdf https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-report-q1-2019.pdf https://www.darkreading.com/vulnerabilities---threats/when-every-attack-is-a-zero-day/a/d-id/1334468
Compartir