Ciberseguridad
Protegiendo la infraestructura contra el ransomware – Líderes de opinión

Por el Dr. Aviv Yehezkel, co-fundador y director técnico de Cynamics
Desde hospitales hasta escuelas y plantas de empaquetado de carne, ninguna industria es insignificante para los atacantes de ransomware. El ransomware costará a las empresas de EE. UU. $3.68 mil millones este año solo. Los operadores de redes y seguridad necesitan una cobertura de red de alto nivel para prevenir y mitigar los ataques de ransomware. La creciente complejidad de las arquitecturas, que incluye componentes heredados en el sitio, virtuales y en la nube que se ejecutan en la red, ha hecho que obtener una visibilidad completa sea casi imposible. El status quo no está funcionando. Se necesita un nuevo enfoque.
Las soluciones actuales no pueden satisfacer las demandas de la red
Además de volverse más complejas, las redes también han aumentado en tamaño, escala y volumen. En todos los sectores, estas redes están manejando cantidades masivas de datos que siguen creciendo en volumen y involucran más puntos finales, más conectividad (interna y externa) y más sitios de red (físicos y/o lógicos). Mientras que las redes están aumentando exponencialmente en escala y complejidad, la mayoría de las soluciones de seguridad aún confían en enfoques tradicionales como dispositivos y agentes. Y estos no están diseñados para estos niveles de complejidad y volúmenes de datos.
Las soluciones actuales de detección y respuesta de red (NDR) aún se basan en un enfoque destinado a redes de una época más simple. Las soluciones son laboriosas, costosas de implementar y cada vez menos efectivas. Implican colocar dispositivos, sensores y/o sondas que recopilan y analizan los datos de la red. Sin embargo, no es posible cubrir toda la red con estos dispositivos. Requieren el análisis del 100% de los datos de la red, lo que no es práctico. Eso obliga a las empresas a comprometerse todos los días limitando la cobertura y la detección a pequeñas porciones de su red, dejando la mayor parte de la red como un punto ciego vulnerable.
Además, la mayoría de los proveedores de NDR utilizan un enfoque basado en dispositivos que toca o amplía los puertos para analizar el tráfico de la red. Esto no se escala con facilidad y amplía la superficie de ataque de una organización como una puerta trasera directa al núcleo de la red del cliente, como se notó muchas veces el año pasado con los ataques de la “pandemia” de la cadena de suministro. En el entorno digital interconectado de hoy, este enfoque no proporciona la transparencia suficiente en las redes inteligentes cada vez más complejas y deja a las organizaciones vulnerables a los puntos ciegos.
Problemas con la visibilidad y la novedad
La mayoría de los ataques de ransomware comienzan con una brecha en la red que normalmente es posible a través de una vulnerabilidad en el perímetro de la red. Y los actores maliciosos comenzarán a moverse por su red y tratarán de maximizar el daño, saltar de un lugar a otro, hasta infectar suficientes hosts para ser utilizados para el ataque. Encontrarán los puntos ciegos que no están siendo monitoreados, cuando dejan áreas sin cubrir, crean mucho espacio para que los cibercriminales se cuelen.
Hay otro problema significativo: con la mayoría de las soluciones de detección, la novedad pasa desapercibida. Están entrenadas para buscar firmas y reglas muy específicas asociadas con actividades de ransomware conocidas. Pero se están desarrollando nuevas variaciones y tipos de ataques de ransomware todo el tiempo, y incluso un pequeño cambio en las firmas que estas herramientas están entrenadas para detectar y marcar puede hacer que el ataque pase desapercibido.
El papel de la IA y el ML
Los analistas humanos, por inteligentes y capaces que sean, simplemente no pueden monitorear las redes de hoy por su cuenta, y no se puede cubrir la red completa con dispositivos y agentes. Pero dejar porciones de su red sin cubrir no es una opción. Los atacantes y cibercriminales siempre están buscando formas de infiltrarse y colarse.
¿Cómo se pueden superar estos desafíos? Las técnicas de inteligencia artificial (IA) y aprendizaje automático (ML) pueden desempeñar un papel clave en la detección y respuesta de red. El ML se puede utilizar para inferir el comportamiento del 100% del tráfico de la red, basándose en una muestra de solo una pequeña fracción de los datos de la red. Y luego, puede aprender automáticamente si un patrón de red es legítimo o sospechoso y “entender” de forma autónoma las tendencias cambiantes en la red.
Lo que hace que la IA y el ML sean tan útiles es su capacidad para detectar los patrones ocultos que señalan los ataques, para revelar lo que realmente está sucediendo en las redes en tiempo real. Esto elimina la necesidad impráctica y costosa de cubrir toda la red. Esto también ayuda a abordar el problema mencionado anteriormente sobre la evolución continua de nuevas formas de ataques de ransomware.
Se requiere innovación
El ransomware es implacable. Es obvio en este punto que las soluciones de seguridad heredadas no están funcionando ni manteniendo el ritmo con el panorama de amenazas en evolución. Es una plaga que cuesta a las organizaciones miles de millones de dólares; parece inparable, pero debe ser detenido. Pero eso es más fácil de decir que de hacer cuando la mayoría de las redes se están volviendo cada vez más complejas y incluyen una mezcla de componentes heredados y nuevos.
Los cibercriminales están aprovechando al máximo la IA, así que los operadores de redes también deben hacerlo. Una nueva estrategia de seguridad debe incluir una detección y respuesta de red (NDR) basada en muestras y dirigida por la IA. Las soluciones de este tipo utilizan una pequeña porción del tráfico de la red para aprender qué es normal para toda la red, lo que permite una visibilidad que de otro modo no sería posible. Es un ejemplo del tipo de soluciones innovadoras necesarias para mantenerse por delante del ransomware y las muchas otras amenazas de red en operación hoy en día.












