Seguridad inteligente: el uso del aprendizaje automático

Transcripción

Seguridad inteligente:
el uso del aprendizaje
automático para
ayudar a detectar
ciberataques
avanzados
Un modelo progresivo de
ciberseguridad basado en datos
emerge para acortar el tiempo
de detección y reducir el riesgo.
1 |
Seguridad inteligente: el uso del aprendizaje automático para ayudar a detectar ciberataques avanzados
Los atacantes no van a esperar a que el software
de seguridad esté al día: los informes de la industria
revelan que los ciberataques avanzados pueden
existir sin ser detectados durante unos 200 días.
En el entorno de amenazas actual, las organizaciones
necesitan soluciones de seguridad inteligente
en constante evolución para mantenerse al día
de las últimas amenazas según van surgiendo.
¿Es su organización capaz de encontrar la señal en el ruido de los puntos
de datos? Siga leyendo para saber cómo un modelo de seguridad progresivo
ayuda a reducir el riesgo.
2 |
CONTENIDO
04
05
07
09
11
12
3 |
¿200 días antes de la detección? Los informes de la industria pintan un oscuro panorama
El umbral de los 1.000 millones de dólares: la exposición al riesgo es más abrupta que nunca
Modus operandi: cómo funcionan los ataques avanzados
Un paso adelante: avanzando hacia un modelo de seguridad proactiva
Mejorar la detección: la importancia de una señal clara
De meses a minutos: la analítica aplicada y la mejora continua
¿200 días antes de la detección?
Los informes de la industria pintan un oscuro panorama
Cuando los profesionales de la seguridad detectan una vulnerabilidad, es casi seguro
que el atacante ha estado hurgando en el entorno de la víctima durante bastante
tiempo. Pero, ¿durante cuánto tiempo?
Para muchos en la industria, “200 días” se acepta como estándar para encuadrar el promedio. Pero este “estándar”
también es problemático por un par de razones.
Para empezar, asumámoslo, es demasiado tiempo. Supone que un ciberatacante o agrupación sofisticada
ha estado trabajando durante seis meses y medio aproximadamente dentro de sus sistemas. Durante este
tiempo oscuro y expuesto, los datos confidenciales de la organización y la propiedad intelectual han estado
potencialmente expuestos, acercándose inexorablemente al peligro.
El miedo a lo que sucede durante esos 200 días se ha convertido en la vara de medir para los CISO, los CSO
e incluso los CEO. Hoy en día, las empresas, los profesionales de seguridad y la industria tecnológica en
general están sedientos de nuevas medidas de seguridad avanzadas para reducir esa cantidad.
Como dato práctico, “200 días” es solo una etapa, una cifra usada para medir y debatir sobre el
progreso de la industria. Los CISO y los CSO saben que la cantidad de días no es lo más importante de
una vulnerabilidad. Lo que nos tiene a todos sin conciliar el sueño por las noches es el hecho de que
un día ya es demasiado y, para cuando lo detectas, ya es demasiado tarde. La meta final es reducir
esa cantidad a cero.
Para ello, las organizaciones necesitan un planteamiento más inteligente para detectar las amenazas
Al mismo tiempo, ¿qué
precisión y utilidad tiene este
número un tanto arbitrario?
Los cálculos varían incluso dentro
de la comunidad de seguridad.
He aquí una descripción breve
de cómo se ve el problema en
diferentes empresas:
146 días:
Informe M-Trends (2016), Mandiant,
a FireEye Company
229 días:
página actual de Lockheed Martin
Advanced Threat Monitoring
200 días:
página de Microsoft sobre
Advanced Threat Analytics
¿De nuevo en alza?
Para aumentar la confusión, el informe
más reciente de Verizon Data Breach
Investigation Report declina dar una cifra
antes y dar la vuelta a la tortilla frente a los ciberataques sofisticados. Este informe técnico se ha
específica pero muestra que el déficit creció
redactado para ofrecer a los lectores una mirada sobre el modo en que las amenazas avanzadas
en realidad el año pasado después de haber
funcionan para poner en peligro la información sensible y cómo el poder la computación avanzada
mejorado ligeramente en 2014.
en la nube, combinado con la ciencia de los datos y los expertos, puede ayudar a reducir el tiempo
que tarde una organización en detectar un ataque.
4 |
El umbral de los 1.000 millones
de dólares: la exposición al riesgo
es más abrupta que nunca.
200+
Promedio de días que los
atacantes permanecen en una
red antes de que se les detecte.
Con independencia de que se trate de una pequeña empresa o de una grande,
los atacantes que implementan explotaciones avanzadas son una preocupación
constante que va bastante más allá de los costes iniciales de una vulnerabilidad.
Estos perpetradores muy habilidosos, con buena base y en constante evolución
tienen motivos que van desde el robo y el espionaje industrial hasta los ataques
contra naciones-estados en toda su extensión.
76
%
En primer lugar se encuentra la preocupación financiera. Hoy, los mayoría
Las credenciales
comprometidas constituyen
hasta el 76 % de todas las
intrusiones en las redes.
de los autores y ejecutores maliciosos que perpetran ataques avanzados sigue
buscando ganar dinero con su esfuerzo. No sorprende, por tanto, que los daños
sigan aumentando.
En 2015, se alcanzó un nuevo umbral cuando un complicado ataque
afectó a más de 100 bancos de 30 países con unas pérdidas estimadas
en más de 1.000 millones de dólares. Debido al aumento del riesgo,
las pólizas de seguros para las contingencias cibernéticas están pasando
a ser un nuevo gasto operativo para muchas empresas, con unas primas
para esta oferta emergente que se establece en el triple en 2020,
cuando se acercará a los 7.500 millones de dólares.
5 |
El coste total que suponen
los delitos cibernéticos podría
ascender hasta:
500.000
millones
de dólares
Coste medio de una brecha
en la seguridad de los datos
para una empresa:
También existen otras cicatrices menos cuantificables y potencialmente más costosas
que dejan los ciberataques que consiguen su objetivo: dañar la marca, clientes cautelosos,
crecimiento estancado y relaciones diplomáticas en peligro. Aunque no se les pueda
3,5 millones
de dólares
atribuir directamente una cantidad monetaria, estos impactos pueden tener efectos
negativos duraderos en una organización, y llevar a la baja la lealtad de los clientes
y al alza el escepticismo público y, en última instancia, afectando al personal encargado
de las operaciones de seguridad que deben ser responsables de las vulnerabilidades.
Otros ataques no están motivados por incentivos financieros, sino por una búsqueda
de información sensible. Tomemos STRONTIUM, por ejemplo. STRONTIUM es un
conocido grupo activista cuyos objetivos son agencias del gobierno, instituciones
diplomáticas, periodistas y fuerzas militares. No les interesa el dinero y no les
preocupa el tamaño de un objetivo. Buscan los datos más sensibles que puedan
Uno de cada cinco pequeñas y medianas
empresas son objetivo de los ciberataques.
encontrar. De igual manera, el grupo de ataque Octubre Rojo, descubierto en
2013, había estado infiltrado en instituciones gubernamentales y diplomáticas
al menos durante cinco años, según se averiguó.
Aunque parezca una novela policiaca, es un problema real. Los costes invisibles
de las vulneraciones de seguridad son algo que incluso hace dos décadas
parecía el argumento de un relato de ciencia ficción. Con tanto en juego,
no es de extrañar que los presupuestos crezcan y las empresas busquen
ávidamente nuevas soluciones para atajar el creciente problema de
los ciberataques avanzados.
El impacto en la pérdida de
productividad y crecimiento que
causa el ciberdelito se calcula en:
-Ponemon Institute
6 |
3 billones
de dólares
Modus operandi:
cómo funcionan los ataques avanzados
¿Qué hace un ataque avanzado durante esos 200 días después de haber conseguido
entrar en la red? Los atacantes de hoy emplean una combinación de métodos, con técnicas
tradicionales junto con otras nuevas, ya que están siempre explorando nuevas posibilidades
para aprovecharse de las personas y de la tecnología. Cuanto más tiempo resida un ataque
en un sistema, más se aprovechará de él, lo que pone de manifiesto la importancia de la
detección temprana.
Casi el 80 % comienza con un engaño antiguo y conocido:
Los atacantes continúan evolucionando con nuevas formas
se usan los ataques de suplantación de identidad con
de malware que permanece oculto a la detección o se borra
convincentes artimañas para que los usuarios comprometan
automáticamente. Los vectores de los ataques también están
la información. Pero como McAfee, un proveedor de seguridad
cambiando: ya no están satisfechos con los PC y los servidores
señaló recientemente, se esperan ataques más sofisticados,
de las sedes corporativas, los atacantes buscan ahora poner
incluidos nuevos ataques contra la integridad que pueden
en peligro las oficinas satélite, los ordenadores domésticos de
modificar los procesos internos y redireccionar los datos según
los trabajadores e incluso el software de los teléfonos móviles,
fluyen por la red. (Esta fue la técnica empleada en el golpe
los dispositivos portátiles y los automóviles.
a los bancos de 1.000 millones de dólares).
7 |
Comprender la Cyber Kill Chain®
Las brechas de seguridad contienen, en general, seis fases diferenciables, conocidas en la comunidad
de inteligencia de la seguridad como Cyber Kill Chain® (una frase registrada por Lockheed Martin).
Estas fases pueden ocurrir secuencialmente, en paralelo o en un orden diferente, y cada una también
ofrece una oportunidad de obtener la inteligencia para vencer los ataques:
Reconocimiento
Explotación
El atacante explora su objetivo. Esto puede conllevar
El código pone en peligro el sistema. A veces el código
procedimientos técnicos o sencillamente explorar el sitio
enviado comienza inmediatamente a actuar. En otras
web de una empresa. A menudo no se detecta, pero ofrece
ocasiones, el atacante adopta varias fases, como cuando
potencial para relacionar comportamientos aparentemente
el paquete inicial comienza a descargar otro código
benignos con una advertencia de ataque avanzado.
y se expone a las alertas de la red.
"Weaponization"
Comando y control (C2)
Los atacantes crean un shell para ocultar la carga explosiva
El atacante y el código funcionan juntos para aprovecharse
malintencionada. No siempre resulta posible detectar el
del sistema. Esto puede adoptar la forma de movimientos
vehículo concreto de un atacante específico, pero una vez
laterales diseñados para lograr credenciales de valor más
descubierto y sometido a ingeniería inversa, se convierte
alto o directamente explorar la red en busca de los activos
en una huella clara de futuros ataques similares.
de datos que constituyen el objetivo.
Entrega
Acciones sobre el objetivo
El atacante infecta el sistema con código malicioso o engaña
Se toman los datos confidenciales. En este momento,
a un usuario para que lo descargue. Esta es la fase crítica
el atacante ha tenido éxito. Sea información financiera,
en la que el atacante consigue entrar y comienza a hacer
documentos de alto secreto o bocetos de un producto
su trabajo.
de nueva generación, ahora se encuentran en poder
del atacante.
8 | |Seguridad
Seguridadinteligente:
inteligente:eleluso
usodel
delaprendizaje
aprendizajeautomático
automáticopara
paraayudar
ayudara adetectar
detectarciberataques
ciberataquesavanzados
avanzados
Fuente: Lockheed Martin
Un paso adelante:
avanzando hacia un modelo
de seguridad proactiva
Dada la naturaleza furtiva de los ataques
avanzados para cumplir sus fines, las empresas
deben pasar a un modelo de seguridad
más proactivo, centrado en la habilidad para
descubrir al atacante y detener sus ataques.
Si bien el modelo tradicional de seguridad empresarial comenzó
protegiendo el perímetro de la red, los expertos sugieren hoy
un enfoque proactivo que comience con la detección habilitada
gracias a una potente analítica de seguridad. En este modelo,
todo lo demás fluye a partir de ahí en un círculo que se mejora
constantemente, ya que las defensas previas al ataque mejoran
continuamente con nueva inteligencia derivada de la detección
posterior y la respuesta a los ataques.
Detección
Centrándose en la detección basada
en los análisis, las empresas están mejor
posicionadas para defenderse de los ataques
avanzados y sus tácticas en evolución.
Responder
En lugar de limitarse a arreglar la vulnerabilidad,
la fase de respuesta se convierte en una valiosa
fuente de nueva inteligencia.
Proteger
Los datos logrados en las fases de detección
y de respuesta se aplican para continuar mejorando
la tecnología de defensa previa a la brecha.
9 |
En los últimos años, los CISO y los CSO han trabajado en este cambio implementando medidas
de inteligencia de seguridad que usan datos y análisis para detectar rápidamente el siguiente ataque
y mejorar la defensa en general. Esto incluye pasos como:
•
Invertir en software de seguridad avanzada
•
y hardware seguro.
•
Formar a los empleados en imperativos y riesgos
de seguridad.
•
Implementar una solución SIEM (Security Intelligence
Subscribirse a fuentes RSS de inteligencia
de amenazas (a menudo, múltiples).
•
Desarrollar procesos que relacionen los datos
de las amenazas e incluso contratar a científicos
que los analicen.
Event Management).
Hasta ahora, estas herramientas y procesos han constituido el grueso de la respuesta de la industria a los ataques avanzados. Y como muchas
iniciativas tempranas del sector tecnológico, sus resultados con variables.
No se trata de que no sean eficaces. El informe 2016 M-Trends de
Si el fin de todos estos esfuerzos es acortar esos 200 días a tiempo real,
Mandiant muestra que cuando las empresas logran detectar los ataques
entonces eliminar el ruido se ha convertido en un auténtico control,
usando sus propios sistemas, el tiempo de residencia de un ataque
y parte de lo que mantiene la detección un paso atrás (costoso).
avanzado se reduce drásticamente. Pero también hay quejas, como
el gasto, la integración torpe y el ineficiente proceso manual de relacionar
los datos de la amenaza e incorporarlos al sistema.
Para mantenerse al día con los ataques avanzados, las organizaciones
deberían seguir invirtiendo en sus SIEM y proceso asociado. Solo la nube
puede ofrecer protección y remedio de la siguiente generación a la escala
Y una vez que todo está en su lugar con SIEM, surge otro gran problema:
que se necesita hoy (incluidos los mecanismos de alerta integrados
el ruido. Sencillamente hay demasiadas alertas, demasiados datos, incluso
a través de sensores de plataforma), de un modo que evolucione
para que las empresas más avanzadas consigan darles sentido.
continuamente para mejorar la protección con auténtica inteligencia
de seguridad.
10 |
Mejorar la detección:
la importancia de una señal clara
Al reducir el tiempo que lleva detectar un ataque, las empresas se enfrentan al dilema de tener que procesar
demasiados datos relacionados con la seguridad y sin embargo no tener suficiente información para separar la señal
del ruido y comprender un incidente con rapidez.
El reto no es solo el mero volumen, también la separación. Muchos indicadores de un ataque parecen inocentes
por sí mismos o están separados en diferentes industrias, distancias y periodos de tiempo. Sin información clara
del conjunto de datos completo, la detección temprana se convierte en un juego de probabilidades. Incluso
las grandes empresas se encuentran con estas limitaciones:
•
La inteligencia de amenazas real requiere más datos de los que la mayoría
de las organizaciones pueden adquirir por sí mismas.
•
Encontrar modelos y ser más agudo con semejante grupo enorme de datos requiere
técnicas avanzadas, como el aprendizaje automático junto con una gran potencia
de computación.
•
En última instancia, aplicar nueva inteligencia de manera que las medidas y las tecnologías
de seguridad mejoren constantemente requiere de expertos capaces de comprender
lo que dicen los datos y emprender la acción.
Aquí es donde Microsoft trabaja para dar la vuelta a la tortilla. Como empresa de servicios y plataformas,
los datos de actividad y de amenaza de Microsoft proceden de todos los puntos de la cadena tecnológica,
de todos los sectores industriales, de todo el mundo.
Los productos de seguridad y la tecnología de la nube de Microsoft están diseñados para trabajar juntos e informar
sobre datos de amenazas maliciosas cuando los problemas se producen. Esto ofrece una “grabación de los datos
de vuelo” que nos permite diagnosticar los ataques, hacer ingeniería inversa en las técnicas de amenaza avanzada
y aplicar esa inteligencia a toda la plataforma.
El alcance de la inteligencia de
amenazas de Microsoft abarca
literalmente miles de millones
de puntos de datos:
35.000 millones
Mensajes examinados
mensualmente
600.000
Seguimiento de direcciones de
correo electrónico no deseado
250 millones
Usuarios de Windows Defender
en el mundo
600 millones
Informes mensuales sobre
los equipos
más de
8.500 millones
Páginas web de Bing
examinadas por mes
Mil millones
Clientes de empresas y
segmentos de consumo
200+
Servicios en la nube
11 |
Fuente: Informe de inteligencia de seguridad
de Microsoft (SIR)
De meses a minutos:
la analítica aplicada
y la mejora continua
Durante casi dos décadas, Microsoft ha estado convirtiendo las amenazas
en inteligencia útil que puede ayudar a reforzar su plataforma y proteger
Seguridad inteligente
Mediante este gráfico de seguridad inteligente, Microsoft está creando
el mecanismo más ágil y completo de la industria para compartir
la inteligencia sobre amenazas, aplicar análisis y mejorar la detección
en su gama de servicios y productos, no en 200 días, sino ahora mismo.
Azure
Active Directory
Cuentas
Microsoft
a los clientes. Desde el nacimiento de ciclo de vida de desarrollo de
Advanced Threat
Analytics (ATA)
Antimalware
de Windows
Defender
Microsoft Cloud
Application Security
(MCAS)
seguridad (SDL) surgido a partir de los primeros ataques de virus
como Blaster, Code Red y Slammer, hasta los modernos servicios
de seguridad entrelazados en nuestras plataformas y servicios,
la empresa ha creado procesos, tecnologías y experiencia para
detectar, proteger y responder a las amenazas en constante
evolución.
Operations
Management
Suite (CMS)
Azure Security
Center (ASC)
Protección
contra amenazas
avanzadas de
Windows Defender
(ATP)
Advanced Security
Management (ASM)
en Office 365
Exchange Online
Protection (EOP)
Hoy en día, con las inmensas ventajas en computación que ofrece
la nube, la empresa está encontrando nuevas formas de usar
sus potentes motores de análisis basados en la inteligencia sobre
amenazas para proteger a los clientes Con una combinación
de procesos manuales y automáticos, aprendizaje automático
Interflow API y Servicio de atribución de amenazas
(Info de interfaz plataforma de big data de inteligencia de amenazas e informes de atribuciones)
y expertos humanos, somos capaces de crear un gráfico
de seguridad inteligente que aprende de sí mismo y
Análisis
(Aprendizaje automático, servicio de detonación, seguimiento de comportamientos, heurística)
evoluciona en tiempo real, reduciendo el tiempo colectivo
para detectar y responder a nuevos incidentes en todos
nuestros productos.
Recopilación de datos y normalización
(Fuentes de datos de los productos)
Privacidad/límites de cumplimiento
Microsoft
System Center
Microsoft
Security
Essentials
12 |
Microsoft Azure
Herramienta
de eliminación
de software
malicioso
Humanos
Más información acerca de la inteligencia de seguridad en Microsoft
Al igual que el panorama de las amenazas, el planteamiento de Microsoft a la inteligencia
de seguridad está en continua evolución. Los clientes pueden mantenerse informados de
los nuevos desarrollos a través de varios recursos:
Blog de Seguridad
de Microsoft
Azure Active Directory
Identity Protection
Los expertos de Microsoft en el panorama
Uno de los productos que se actualiza
Informe de inteligencia
sobre seguridad
de Microsoft
de amenazas en evolución ofrecen sus
constantemente con la última inteligencia
ideas sobre cómo Microsoft y la industria
de seguridad es Azure AD Identity
Dos veces por año, Microsoft publica
en general trabajan para mantenerse
Protection. Se anima a los clientes a acceder
a la cabeza.
a la vista previa pública para comprobar
por sí mismos cómo los datos afloran para
ayudar a asegurar que los protocolos de
seguridad están actualizados.
13 |
un amplio informe sobre tendencias
de seguridad y los datos subyacentes.
Se anima a los clientes a usar el SIR como
ayuda para establecer prioridades y
centrarse en las iniciativas de seguridad.
14 |
©2016 Microsoft Corporation. Todos los derechos reservados. Este documento se proporciona
“tal cual”. La información y las opiniones expresadas en este documento, incluidas las direcciones URL
y otras referencias a sitios web de Internet, están sujetas a cambios sin previo aviso. Usted asume
el riesgo de utilizarlo. Este documento no le proporciona ningún derecho legal sobre ninguna
propiedad intelectual de ningún producto de Microsoft. Puede copiar y usar este documento
para uso interno como material de consulta.

Seguridad inteligente: el uso del aprendizaje automático

Transcripción

Documentos relacionados

Protección de los datos, la propiedad intelectual y la

McAfee Threat Intelligence Exchange

Principales amenazas y tendencias surgidas del último