Ciberdefensa + IA como servicio

El establecimiento de controles para la gestión de incidentes de seguridad informática –hasta el grado de establecer una sólida ciberdefensa en las organizaciones– se ha convertido en el Santo Grial de la ciberseguridad porque, como ya se sabe, convertirse en víctima de un ciberataque solo es cuestión de tiempo, sin importar la vertical, el tamaño o el nivel de madurez de la ciberseguridad de las organizaciones. Si bien para las organizaciones que están altamente reguladas esto es mandatorio, no basta con solo cumplir para minimizar oportunamente los efectos adversos en el negocio ante un ataque Avanzado Dirigido y Persistente (APT).

Los incidentes de seguridad dentro de las organizaciones requieren de una herramienta de agregación de hechos que visualice todos puntos de ocurrencia y un sistema de alertamiento que incorpore inteligencia de amenazas preciso y ágil, así como un equipo humano siempre disponible y altamente calificado en tareas de gestión de incidentes y alta forénsica.

Pero lograr todos estos elementos es casi imposible financieramente, por lo que la alternativa de un SOCaaS es la solución defintiva. Si y sólo si el SOCaaS es completamente capaz de:

  1. Realizar un monitoreo estratégico de toda la infraestructura de seguridad, telecomunicaciones, aplicativos y activos informáticos de manera agnóstica (libre de marca).
  2. Proveer visión centralizada para todos sus eventos de seguridad en una sola plataforma, entendiendo lo que significa cada uno para el negocio, con una claridad simple y priorización inteligente.
  3. Aplicar Inteligencia Artificial por medio de miles de algoritmos de detección patentados que monitoreen, analicen e interpreten estratégicamente las consecuencias de los eventos en todas sus soluciones de seguridad y entornos comerciales.
  4. Alertar cada evento sin falsos positivos por la incorporación de múltiples feeds de inteligencia de amenazas filtrando, de entre los millones de hechos registrados por día, solo aquellos que sean incidentes reales de seguridad.
  5. Clasificar y priorizar los incidentes de seguridad, por un lado aclarando si lo que se presenta es un incidente aislado y, por otro, los casos en que la organización esté efectivamente bajo ataque.
  6. Permitir la gestión del incidente, el avance de las investigaciones y la administración de las recomendaciones y remediaciones en tiempo real.
  7. Asignar de inmediato, para la resolución del incidente, a verdaderos expertos en el monitoreo de actividades, analistas de malware y computo forense, así como un equipo de inteligencia de amenazas y respuesta de incidentes.

Estas características conforman un verdadero ISOCaaS que deberá monitorear y resolver de manera permanente, rentable y accesible, integral, escalable e inteligente, los incidentes con precisión y velocidad, evitando daños costosos y tiempos de inactividad críticos para el negocio.

IA, porque ES importante para la ciberseguridad (2da parte)

Como anteriormente hemos comentado la completez en la ejecución de las tareas de madurez progresiva de Percibir, Aprender, Decidir y Actuar de la Inteligencia Artificial definirán tanto el alcance como la profundidad del valor que puedan aportar a la Ciberseguridad. (Serrano, 2021)

Decidiendo dónde y cuándo empezar

Según la Firma pwc, deberíamos descubrir el Ciber riesgo oculto en nuestras organizaciones como una prioridad (Christopher Castelli, Barbara Gabriel & Booth, 2018). Así pues, parece natural concluir que se deberían armonizar tanto los esfuerzos, como las inversiones y despliegues en lograr dilucidar cual es nuestra postura de seguridad real mas allá de la percepción o de las inversiones realizadas anteriormente.

Hoy en día la validación de la seguridad (Pentesting) demanda esfuerzos técnicos tan profundos y de tan alta habilidad que se ejercen en pocos momentos durante el año de tal suerte que es poco común tener tanto conocimiento y habilidad dentro de los activos profesionales de las organizaciones.

Adicionalmente si se quiere tener alta certeza de la prueba y las evidencias obtenidas, es necesario que el Pentesting siga una estrategia de intentar-hasta-lograr tener éxito sobre cada superficie de ataque. Esto requiere apoyo automatizado en (Aprender, Decidir y Actuar).

Existen gran cantidad de alternativas de Pentesting Semiautomatizado que al no tener IA en plena cobertura del Aprender, Decidir y Actuar ofrecen más bien un script de ataque que no puede iterar evolutivamente para sobrepasar eficientemente las contramedidas de seguridad como lo haría un Hacker altamente calificado, Motivado y Persistente.

Se debe elegir una herramienta COMPLETAMENTE automatizada que sea capaz de:

  • Ir más allá que el descubrimiento de activos y superficies de ataque, deberá también incorporar rastreo inteligente e incorporación de enlaces débiles para complementar la base de datos de superficies de ataque.
  • Utilizar el verdadero exploit que cristaliza un ataque que puede dar control del activo a la herramienta validando así la vulnerabilidad intentando además nuevas estrategias de ataque en varias iteraciones de prueba.
  • Aplicar un Motor de decisión Inteligente que incorpore nuevas superficies de ataque en tiempo real al tener control del activo previo y cambiando con esto las línea de vista de la herramienta cambiando la estrategia de ataque interactivamente.
  • Aplicar tareas de ataque en paralelo fruto de la estrategia inteligente que se adapta constantemente durante el primer y subsecuentes ciclos de validación.
  • Repasar todas las superficies de ataque intentando distintas maneras de tener éxito hasta agotar todas las posibilidades iniciales y descubiertas en tiempo real.
  • Dar visibilidad detallada de la acción del ataque en tiempo real (Kill Chain)
  • Tener adhesión completa con el negocio en la priorización del Riesgo reportado. Así como una descripción simplificada de  las tareas de remediación del riesgo corroborado
  • Tener una arquitectura de despliegue simple, libre de agentes instalados y de alta escalabilidad.

En Conclusión, deberíamos iniciar los esfuerzos de incorporación e IA en la ciberseguridad de nuestra organización con una herramienta que corrobore la seguridad de la misma forma que un cibercriminal. De manera Inteligente, Avanzada, Persistente, Dirigida y Totalmente Automatizada.

 

Christopher Castelli, Barbara Gabriel, J. Y., & Booth,  and P. (2018). Society, Strengthening digital Shocks, against cybershocks. https://www.pwc.com/us/en/cybersecurity/assets/pwc-strengthening-digital-society-against-cyber-shocks.pdf

Serrano, L. (Solcomp). (2021). Inteligencia Artificial, porque ES importante para la ciberseguridad. https://www.solcomp.com.mx/blog/noticias/inteligencia-artificial-porque-es-importante-para-la-ciberseguridad/

 

Supera el reto financiero de la ciberseguridad en la resiliencia de TI

No hay duda de que para que toda organización pueda subsistir y desarrollarse, se requiere de un Plan de Continuidad de Negocio efectivo, probado y actualizado con el objetivo de proteger los procesos informáticos estratégicos del negocio, con costos alcanzables.

Según Kenton & Kindness, 2020, en un Plan de Continuidad de Negocio es necesario:

  • definir todos los riesgos (naturales y cibernéticos) que puedan afectar la operación de la organización
  • determinar el impacto de esos riesgos
  • implementar medidas para reducirlo
  • probar la efectividad del plan continuamente
  • y revisarlo de manera constante para asegurarse de que esté actualizado y de que sea pertinente para el cumplimiento de su propósito

El tener un Data Center Frío como respaldo de la operación requiere de recursos informáticos que no hayan sido usados hasta el momento de la falla del Data Center principal; es por eso que, en ocasiones, debe elegirse proteger con este tipo de Data Centers solamente a los aplicativos más críticos. Por otro lado, hasta hace poco, tener un esquema de Data Centers Activo-Activo requería de una impresionante inversión, tan solo en dispositivos que pudieran materializar la operación constante y balanceada de todos los aplicativos en ambos Data Centers. Todo esto debido a la limitante de los componentes individuales de seguridad perimetral relativa a mantener conciencia común compartida –por ambos Data Centers– de todas las sesiones hacia los aplicativos.

Sin embargo, hoy en día es posible aprovechar el 100% de las inversiones de TI en el Data Center generando valor y resiliencia para la organización, de una manera accesible en costos, efectiva y simple; pero es indispensable que los clústeres de HA de perímetro de seguridad tengan la capacidad de sincronizar las sesiones de TCP y UDP entre Data Centers y compartir sus detalles de seguridad para poder –literalmente– recibir una solicitud de usuarios en un Data Center y responder utilizando los recursos y/o enlaces de otro Data Center por medio del DCI (Interconección entre Data Center).

Para que esto sea factible, es necesario elegir la tecnología que permita que los componentes de seguridad perimetral sean capaces, según el escenario, de:

  • soportar tráfico asimétrico en los Data Centers por medio del DCI
  • escalar peticiones y atenderlas localmente entre Data Centers por el DCI
  • soportar implentaciones Activo-Pasivo-Pasivo-Pasivo para un set de 4 dispositivos
  • soportar redirección interna por medio del DCI de los aplicativos migrados al nuevo Data Center, accesados por los usuarios usando el Data Center anterior
  • garantizar la continuidad de la operación cuando falle algún enlace interno o externo (incluso falla simultánea) en algún Data Center, atendiendo desde el segundo Data Center por medio del DCI

Los clústeres de HA de los dispositivos de seguridad perimetral deberán soportar una arquitectura que permita resolver todos los posibles problemas de sincronización de sesiones, incluso al grado de que el Data Center original ceda la propiedad de la sesión al segundo Data Center.

 

Fuentes:

Christopher Castelli, Barbara Gabriel, Jon Yates, & Philip Booth. (2018). Strengthening digital society against cyber shocks. https://www.pwc.com/us/en/cybersecurity/assets/pwc-strengthening-digital-society-against-cyber-shocks.pdf

Kenton, W., & Kindness, D. (2020). Business Continuity Planning (BCP).

 

 

Escapa de la ciberdelincuencia usando Honeypots

Poder contar con la capacidad de detectar, desviar y confinar a tu atacante más allá de tus soluciones de ciberseguridad que están orientadas a la prevención como lo son NGFW, Web Filter e IPS, es lo que tú y tu compañía requieren.

Para lograr esto nosotros te ofrecemos dar a tus atacantes una copia NO REAL de tu infraestructura actual, colocando señuelos (honey pots) a lo largo y ancho de tu red, haciendo creer al atacante que están obteniendo información. Al detectarse este tipo de actividad en tu infraestructura, nuestra solución ofrece a través de un panel de instrumentos centralizados,  elementos  que te ayudarán a monitorear el señuelo, logrando con ello, protección a todos tus datos y servicios, ante cualquier tipo de intruso.

Lograr el éxito en la incorporación de este sistema de engaño que entregue los beneficios mencionados, se requiere una solución que tenga la capacidad de:

  1. Desplegar múltiples señuelos para crear una red de trampas dentro de tu infraestructura, imitando los servicios de esta, cambiando dinámicamente su perfil para volverlos indetectables al atacante.
  2. Perfeccionar tus trampas con equipos, servicios, datos y usuarios falsos, para hacerlas creíbles a los hackers.
  3. Detectar sigilosamente ataques Man In The Middle para que los hackers no puedan interceptar las conexiones de los usuarios y robarse los datos.
  4. Identificar a los cibercriminales poniéndolos inmediatamente en cuarentena.
  5. Centralizar y automatizar la administración de tu sistema de engaño desde un panel de control que pueda ofrecerte información específica del ataque, corrección instantánea y análisis forense automático para detener los ataques rápidamente.

Entregamos una seguridad:

Simple y eficaz.

Adaptable y sólida.

Ágil y, sobre todo,

inteligente.

Secure Access Service Edge (SASE), el futuro de la seguridad en la red

En el reporte Hype Cycle for Emerging Technologies de 2020 del portal Gartner aparece el concepto de SASE como la más alta expectativa en cuanto a las necesidades de seguridad del usuario. De igual forma, en su reporte Priority Matrix for Enterprise Networking de 2019, Gartner solo identifica tres categorías de tecnología como transformacionales –entre las que se encuentra SASE– mientras FWaaS y SD-WAN son clasificadas solamente como de alto impacto.

SASE sustituye los siguientes servicios de red:

  • SD-WAN
  • Carriers de alto costo
  • Content Delivery Networks
  • WAN optimization
  • Network as a Service
  • Agregadores de Ancho de Banda
  • MPLS
  • Fabricantes de Networking

Y sustituye los siguientes servicios de seguridad de red:

  • Threat Detection
  • Cloud Application Security Broker
  • Cloud Secure Web Gateway
  • Zero Trust Network Access
  • VPNs
  • Firewall as a Service

De esta manera, la rápida comprensión y perfecta armonía con los nuevos paradigmas transformacionales aplicados en los procesos estratégicos podrán mejorar exponencialmente tanto la optimización de los recursos como la rentabilidad organizacional, debido a la convergencia de las funcionalidades del Network as a Service y del Network Security as a Service en un stack unificado de software.

3 tips para mejorar la ciberseguridad del teletrabajo en 2021

Ante la nueva normalidad, que ha provocado una importante aceleración en los procesos de transformación digital, se ha privilegiado al teletrabajo como uno de los principales mecanismos para proteger la salud y vida de los colaboradores, y como una solución emergente para el desempeño organizacional, por lo que se hace mandatorio fortalecer la ciberseguridad de las operaciones móviles.

Tomando en cuenta que el usuario móvil accede a servicios de negocio, datos estratégicos de la organización e información privada de terceros es importante garantizar la ejecución de las siguientes 3 acciones para blindar la ciberseguridad en el trabajo a distancia:

  1. Mejorar la seguridad de los mecanismos de ingreso por medio de herramientas que permitan Acceso Seguro, basado en la identidad, encriptación y monitoreo constante del comportamiento con controles de acceso adaptativo, adicionando mecanismos para el Fortalecimiento de la Autenticación por medio de múltiples factores.
  2. Proteger la integridad operativa del dispositivo del usuario remoto por medio de la implementación de estrategias, que van desde el profundo análisis de comportamiento hasta la protección contra malware y ataques de día cero en la internet.
  3. Establecer totalmente la visibilidad, el control y la agregación de hechos desde el usuario móvil hacia un sistema inteligente de correlación de eventos, que alimente –con alertas y cero falsos positivos– un sistema de gestión de incidentes operado por cyber expertos capaces de gestionar con rapidez y precisión cada brecha de seguridad. ¡Este es quizás el más importante aspecto a mejorar!

En conclusión: al mejorar la ciberseguridad del teletrabajo, se mejoran los niveles de acceso y se reducen tanto la superficie de ataque como los riesgos informáticos que puedan provocar desde pérdida reputacional, impacto en los resultados operativos e incluso –en casos extremos– la extinción organizacional.

 

 

Inteligencia Artificial, porque ES importante para la ciberseguridad

Si bien por muchos años la industria de la seguridad informática se enfocó en mejorar capacidades para enfrentar riesgos conocidos como vulnerabilidades, malware, intrusiones, spam, URL maliciosas, etc. –que son fácilmente reconocibles por tener patrones bien definidos– la experiencia ha demostrado que los daños organizacionales más impactantes se deben al sigilo y a los métodos novedosos de ataque que son capaces de burlar fácilmente las contramedidas tradicionales de seguridad, al utilizar patrones más complejos, cuyas tácticas y procedimientos se presentan en múltiples etapas. Esto hace muy difícil reconocer, ordenar y correlacionar cada pieza del incidente.

Si tomamos en cuenta que la IA está conformada por el stack descrito por Moore (2017) –en el que se conceptualizan las tareas de madurez progresiva de Percibir, Aprender, Decidir y Actuar– podemos construir un criterio para evaluar las herramientas de ciberseguridad que hacen uso de la IA. Es necesario comprender cuál es el alcance y profundidad de dichas herramientas en términos de la IA incorporada en tareas específicas. De esta manera, se podrá concluir cuáles de los procesos de detección, clasificación, priorización, alertamiento y mitigación serán favorecidos por la incorporación de estas herramientas inteligentes.

Así pues, entre más maduro sea el stack de la IA incorporado en la herramienta de ciberseguridad, mayores beneficios entregará a la organización, como pueden ser velocidad, estandarización y disminución de la intervención humana en la gestión del sistema de ciberseguridad, con la innegable disminución en costos directos e indirectos por mantener un número redundante de expertos altamente calificados en funciones que la herramienta logra ejecutar por sí sola.

En conclusión, las herramientas de ciberseguridad basadas en IA adecuadamente elegidas y desplegadas, sin duda fortalecerán los resultados del equipo de ciberseguridad en la organización, ya que podrán delegar a estas herramientas las tareas repetitivas y de alta inspección, dejando libres a los expertos de ciberseguridad quienes podrán dedicarse a procesos de nivel más alto.

Moore, A. (2017). Artificial Intelligence and Global Security Initiative. https://www.youtube.com/watch?v=r-zXI-DltT8&feature=youtu.be

Los 5 mayores retos y soluciones para los CISO´s en 2021

Es innegable que la pandemia por COVID-19, que ha cobrado más de 2 millones de vidas, también ha sumergido al mundo en la más profunda y severa crisis económica de la historia, dejando a la mayoría de las organizaciones en un estado de pérdida de talento y de disminución en sus flujos de efectivo. Ante esto, una de las reacciones, entre muchas otras, es el aceleramiento en los procesos de transformación digital en todas las empresas. Se ha priorizado desde la conversión de un gran número de usuarios fijos de aplicaciones en usuarios móviles, hasta la necesidad de estructurar la mejora en la eficiencia de los grupos de trabajo para compensar tanto los despidos como las pérdidas de talento temporales o definitivas por COVID-19.

Esta compleja variedad de retos ha orillado a que los CISOs de organizaciones de todo tamaño enfrenten actualmente algunos retos, como los mencionados a continuación, para los cuales proponemos las mejores alternativas de solución:

  1. Mejorar la seguridad de los mecanismos de acceso remoto y el desempeño de las aplicaciones estratégicas para la organización.
  • Identity and Access Management: Definir, automatizar y certificar el ciclo de vida de la identidad de los usuarios.
  • Zero Trust Security Architecture: Acceso seguro basado en la identidad y monitoreo constante del comportamiento y control de acceso adaptativo.
  • Multi Factor Authentication: Autenticación fortalecida mediante factores adicionales a la contraseña.
  • Privileged Access Management: Definir, automatizar y monitorear, así como controlar, el uso de las credenciales de alto privilegio.
  • Private Internet Backbone: Garantizar la seguridad del transporte de datos globales para el acceso a los servicios de internet  y privados.
  1. Proteger la integridad de los sistemas del usuario remoto.
  • User Behavior Analysis & Endpoint Detection and Response: Por medio de Endpoint y análisis de tráfico, establecer criterios que permitan saber si el dispositivo del usuario ha sido controlado por un cibercriminal o ha ejecutado alguna acción informática maliciosa.
  1. Obtener validación constante de la capacidad y eficiencia de los sistemas de seguridad.
  • Security Validation Robots: Herramientas de Inteligencia Artificial con comportamiento de hacking que permitan realizar pruebas de penetración continuas, adaptativas y controladas.
  1. Identificar, priorizar y resolver rápidamente los incidentes de seguridad que ponen en riesgo tanto la continuidad de la operación como la privacidad e integridad de la información.
  • Intelligent Security Information and Event Management: Para poder integrar todas las tecnologías de seguridad de la organización, correlacionar sus hechos y establecer las bases del alertamiento temprano de incidentes utilizando Inteligencia Artificial.
  • Security Orchestration Automation and Response: Herramientas de automatización de la respuesta ante incidentes de seguridad conocidos para agilizar las tareas de remediación más comunes.
  • Intelligent Security Operation Center: Conjunto de herramientas de correlación de información y equipo humano con experiencia como analistas en seguridad que, de forma permanente, monitoreen, clasifiquen, prioricen y resuelvan todos los incidentes de seguridad con el objeto de establecer una cyberdefensa activa.
  1. Promover la resiliencia del recurso humano ante cualquier eventualidad que permita que el departamento de cyberseguridad mantenga el nivel de su encomienda, así como racionalizar y optimizar las inversiones y los gastos operativos de los sistemas de seguridad corporativos.
  • Herramientas que integren de manera profunda y amplia las mayores características de seguridad en stacks unificados y con consolas centralizadas y de operación homologada para que se acorten las curvas de experiencia.
  • Herramientas de Inteligencia Artificial que simplifiquen la operación del sistema de seguridad.
  • Outsourcing de tareas especializadas que no pueden ser delegadas a la Inteligencia Artificial.

 Ante esto, hoy más que nunca, es importante que los CISOs del 2021 tengan presente que es necesario dejar de ver las estrategias de defensa cibernética como suficientes o completas, sino que deberán constituir un proceso continuo de visibilidad y respuesta para una mejor resolución.