Ante la evolución de las tácticas de ataque... nuevos métodos de defensa

En su pronóstico, creen que el fuzzing de inteligencia artificial, técnica hasta ahora utilizada solo por investigadores profesionales de amenazas en entornos de laboratorio, empezará a ser utilizada por los ciberdelicuentes que, a través de programas de fuzzing automatizados, podrán acelerar el proceso para descubrir vulnerabilidades de día cero, lo que llevará a un aumento de los ataques de día cero dirigidos a diferentes programas y plataformas.

Al emplear el fuzzing de inteligencia artificial (AIF), Fortinet también predice que aumentará significativamente la velocidad a la que se introducen los exploits de día cero y “una vez que este proceso se haya racionalizado, se habilitará la minería como servicio de día cero, creando ataques personalizados para objetivos individuales, lo que cambiará drásticamente la forma en que las organizaciones deben abordar la seguridad, ya que no habrá manera de anticipar dónde aparecerán estos días cero, ni cómo defenderse adecuadamente de ellos”, señala.

Esto será especialmente difícil cuando se utilicen muchas herramientas de seguridad aisladas o heredadas que muchas organizaciones han desplegado en sus redes hoy en día.

Por otro lado, el precio de los exploits de día cero ha sido bastante alto, principalmente por el tiempo, el esfuerzo y la habilidad necesarios para descubrirlos. A medida que la tecnología de IA se va aplicando, estos exploits pasarán de ser extremadamente raros a convertirse en una mercancía. En este punto, sus especialistas dicen que “la aceleración en el número y variedad de vulnerabilidades y exploits disponibles, incluyendo la habilidad de producir rápidamente exploits de día cero y proveerlos como un servicio, puede impactar radicalmente en los tipos y costes de los servicios disponibles en la dark web”.

Ataques en enjambres
Según la firma, los ataques en enjambres y colmenas aumentarán el peligro. Al respecto, dicen que los avances significativos en ataques sofisticados impulsados por la tecnología de inteligencia basada en enjambres acercan a la realidad de las redes de bots basadas en enjambres conocidas como hivenets o colmenas. Esta nueva generación de amenazas se utilizará para crear grandes enjambres de robots inteligentes que puedan operar de forma colaborativa y autónoma. Dicho de otra forma, ya no hay un solo cerebro que controla al resto de los dispositivos comprometidos para atacar, sino que cada colmena dispone de su propia inteligencia para garantizar el éxito del ciberataque.

“Estas redes de enjambres no solo elevarán el listón en cuanto a las tecnologías necesarias para defender a las organizaciones, sino que, al igual que la minería de día cero, también tendrán un impacto en el modelo de negocio ciberdelictivo subyacente. En última instancia, a medida que evolucionen las tecnologías de explotación y las metodologías de ataque, su impacto más significativo será en los modelos de negocio empleados por la comunidad delictiva cibernética”, explica.

También habrá ataques en enjambres a la carta. En este punto, dicen sus especialistas que la capacidad de subdividir un enjambre en diferentes tareas para lograr un resultado deseado es muy similar a la forma en que el mundo ha avanzado hacia la virtualización. En una red virtualizada, los recursos pueden girar hacia arriba o hacia abajo en las máquinas virtuales, basándose completamente en la necesidad de abordar problemas particulares como el ancho de banda. Del mismo modo, los recursos de una red de enjambres podrían asignarse o reasignarse para hacer frente a problemas específicos que se plantean en una cadena de ataques. Un enjambre que los empresarios criminales ya han preprogramado con una serie de herramientas de análisis y exploits, combinado con protocolos de autoaprendizaje que les permiten trabajar como grupo para refinar sus protocolos de ataque, hace que para los ciberdelincuentes un ataque sea tan simple como seleccionar un menú a la carta.

Finalmente, hay otra mala noticia. Los ciberdelincuentes también utilizarán machine learning para que sus sistemas aprendan.

El aprendizaje automático es una de las herramientas más prometedoras en seguridad defensiva. Los dispositivos y sistemas de seguridad pueden ser entrenados para realizar tareas específicas de manera autónoma, tales como comportamientos de línea base, aplicación de análisis de comportamiento para identificar amenazas sofisticadas, o rastreo y parcheo de dispositivos. Este proceso, desafortunadamente, este proceso también puede ser explotado por los ciberdelincuentes. “Al centrarse en el machine learning, estos podrán entrenar a los dispositivos o sistemas para que no apliquen parches o actualizaciones a un dispositivo en particular, para que ignoren tipos concretos de aplicaciones o comportamientos, o para que no registren el tráfico específico a fin de evadir la detección. Esto tendrá un importante impacto evolutivo en el futuro del aprendizaje automático y la tecnología de inteligencia artificial”, apuntan.

Cómo defenderse
De acuerdo con las Predicciones de Ciberseguridad de Fortinet para 2019, para contrarrestar los ataques cada vez más complejos, las empresas tendrán que poner en marcha estrategias defensivas que eleven el coste de lanzar ataques lo que requerirá que los desarrolladores criminales gasten más recursos para conseguir el mismo resultado, o que encuentren una red más accesible para explotar. Sus expertos sugieren dos como ejemplo:

Tácticas Avanzadas de Engaño: la integración de técnicas de engaño en las estrategias de seguridad para introducir variaciones en la red basadas en información falsa obligará a los atacantes a validar continuamente su información sobre amenazas, gastar tiempo y recursos para detectar falsos positivos y garantizar que los recursos de red que pueden ver son realmente legítimos. Dado que cualquier ataque a recursos de red falsos puede ser detectado inmediatamente, desencadenando medidas de defensa, los atacantes tendrán que ser extremadamente cautelosos a la hora de realizar incluso tácticas básicas como sondear una red.

Colaboración Abierta Unificada: una de las maneras más fáciles para que un cibercriminal maximice la inversión en un ataque y consiga evitar ser detectado consiste simplemente en hacer un mínimo cambio, incluso algo tan básico como modificar una dirección IP. Una forma eficaz de mantenerse al día con estos cambios es compartir activamente la información sobre amenazas. Una información sobre amenazas actualizada permite a los proveedores de seguridad y a sus clientes estar al tanto del panorama de amenazas más reciente. Los esfuerzos de colaboración abierta entre organizaciones de investigación de amenazas, alianzas industriales, fabricantes de seguridad y organismos encargados de hacer cumplir la ley acortarán significativamente el tiempo para detectar nuevas amenazas, al exponer y compartir las tácticas utilizadas por los atacantes. Sin embargo, en lugar de limitarse a responder, la aplicación de análisis de comportamiento a las fuentes de datos en tiempo real mediante la colaboración abierta permitirá a los defensores predecir el comportamiento del malware, evitando así el modelo actual utilizado por los ciberdelincuentes para aprovechar repetidamente el malware existente a través de cambios mínimos.

Elementos imprescindibles
La velocidad, la integración y la automatización son fundamentales para la ciberseguridad, según los expertos de Fortinet. En su opinión, no existe una estrategia de defensa futura que implique una automatización o el machine learning sin un medio para recopilar, procesar y actuar sobre la información de amenazas en una respuesta inteligente. Para hacer frente a la creciente sofisticación de las amenazas, las organizaciones deben integrar todos los elementos de seguridad en un tejido de seguridad para encontrar y responder a las amenazas a gran velocidad y escala. La inteligencia avanzada de amenazas correlacionada y compartida entre todos los elementos de seguridad debe automatizarse para reducir las ventanas de detección necesarias y proporcionar una solución rápida. La integración de productos puntuales desplegados a través de la red distribuida, combinada con la segmentación estratégica, ayudará significativamente a combatir la naturaleza cada vez más inteligente y automatizada de los ataques.

A modo de resumen, como explica Derek Manky, Global Security Strategist en Fortinet, podría decirse que “en lugar de participar en una carrera armamentista perpetua, las organizaciones deben adoptar la automatización y la IA para reducir las ventanas de la intrusión a la detección y de la detección a la contención. Esto puede lograrse mediante la integración de elementos de seguridad en un tejido cohesivo que comparte de forma dinámica la información sobre amenazas para lograr una amplia protección y visibilidad en todos los segmentos de la red, desde el IO hasta las multinubes".