Opinión

Seguridad cognitiva, clave frente a los ciberataques

252 4 minutos de lectura

Según un informe reciente de Frost & Sullivan y de Ricoh, el 90% de las empresas a nivel mundial han sido vulneradas por algún tipo de ataque en los últimos 10 años, a pesar de contar con una protección perimetral y la protección de antivirus a nivel dispositivo.  En este panorama, la seguridad cognitiva promete revolucionar las soluciones de seguridad actuales y ser un complemento de los dispositivos de seguridad en las arquitecturas establecidas ya que reúne las tecnologías de redes neuronales, la inteligencia artificial y Big Data y las integra junto con las soluciones de seguridad convencionales.

Una de las razones por lo cual los ciberataques han sido tan efectivos se debe a la naturaleza cambiante y evasiva de los mismos y pueden detectarse con tecnologías basadas en patrones de reconocimiento y en base a sandboxing pero aún están sujetas a ser superadas si el código del malware cuenta con mecanismos de evasión, permitiendo la activación del malware tiempo después de su llegada a la red. El malware de nueva generación burla diversos sistemas de sandbox porque cuenta con algoritmos de evasión que detectan que está siendo analizado por un ambiente virtual y no por un dispositivo de un usuario real.

Por otra parte, los ataques dirigidos o del tipo APT (Advanced Persistent Threat), -a diferencia del malware antecesor que buscaba de manera estadística y general de lanzar ataques de forma masiva para ver cuántas víctimas eran infectadas-, los ataques APT, buscan primero identificar las vulnerabilidades en el navegador o en el software del usuario por medio de un ‘Exploit Kit’ para lanzar un ataque dirigido con base a esta vulnerabilidad.

CAT

Ejemplos del potencial de la seguridad cognitiva

Uno de los ejemplos del potencial de la seguridad cognitiva son los módulos de antivirus o antimalware en los firewalls que operan en conjunto con funciones de sandbox para la detección de amenazas. El sandbox proporciona una capa adicional de seguridad para detectar amenazas invisibles a un antivirus porque realiza inspección y verificación de la información emulando a un usuario. Esto pareciera ser un mecanismo infalible de inspección, sin embargo, no lo es, ya que los desarrolladores de malware fabrican técnicas de evasión para sandboxing: técnicas de evasión para ambientes virtuales, de ambiente operativo y basadas en la interacción humana.

Un caso específico de esto son los ataques de ‘Día Cero’, los cuales explotan una vulnerabilidad no detectada aun por el fabricante del hardware o software y que en consecuencia no pueden ser detectadas mediante algún mecanismo estático como el del antivirus. Más aún, los desarrolladores de malware más hábiles han desarrollado técnicas de evasión para IPS mediante la manipulación de cabezales o en el mismo cuerpo de las tramas de paquetes. Otras técnicas de evasión pueden incluir ofuscación, cifrado de paquetes, fragmentación y mecanismos de violación de protocolo.

Otro ejemplo son las tecnologías dedicadas al procesamiento y correlacion de logs como los analizadores de logs y los SIEMS. Estas tecnologías permiten hoy en día de una forma muy manual poder detectar diversos tipos de eventos de seguridad. Actualmente, este análisis de logs se hace por medio de personal altamente calificado que ha pasado por varios años dolorosos de experiencia que le han dado la habilidad y capacidad de llevar a cabo el análisis y la correlación de eventos. Este personal es normalmente escaso y difícil de contratar, lo cual normalmente redunda en contratación de personal medianamente calificado que no puede explotar la capacidad completa de estos sistemas lo que a su vez conlleva en la detección tardía de las amenazas de seguridad.

Estos ejemplos representan la generalidad de la problemática más común en los sistemas de seguridad que las empresas experimentan día a día. Llevar a cabo una estrategia de contención eficiente, conlleva a un crecimiento proporcional en la cantidad de personal, lo cual no es factible, pues en realidad, las tendencias a corto plazo, indican que la cantidad de ataques siempre será mayor que la cantidad de gente que pueda atender estos eventos.

La seguridad cognitiva promete ser un complemento de los mecanismos de seguridad mencionados. Puede volver más inteligentes a los algoritmos y mecanismos de detección basados en antivirus y sandboxing, implementando técnicas de machine learning e inteligencia artificial para permitir mayor capacidad de detección de amenazas que utilizan técnicas de evasión regular y avanzada. Por otro lado, los sistemas de detección y protección IPS/IDS pueden convertirse en mecanismos de detección menos vulnerables capaces de detectar nuevos patrones de tráfico maliciosos que mediante análisis cognitivos requieran menor entrenamiento, administración y seguimiento por parte de los administradores de seguridad.

Finalmente, la mayor pesadilla de todo personal en los SOCs o del personal dedicado a la administración de la seguridad es el proceso de mitigación, el cual como se menciona, en muchos casos, la sofisticación del ataque requiere de múltiples conocimientos y experiencia previa y, en algunos casos, la interacción de varias personas al mismo tiempo que lleven a cabo varias tareas de mitigación para reducir el costo y el impacto del ataque en curso.

En estos casos la seguridad cognitiva ayuda en múltiples tareas. Por un lado, la correlación y la creación de reglas para la generación de alarmas se reduce considerablemente ya que los algoritmos de autoaprendizaje y el análisis cognitivo se encargarán de convertir a los SIEMS y a los analizadores de logs en dispositivos más avanzados que puedan crear y actualizar nuevas reglas de detección y alarmas de forma automática mediante autoaprendizaje. Además permitirá que los logs que se almacenan indefinidamente dejen de convertirse en terabytes de basura de información no estructurada que no puede ser explotada.

Ricoh IT Services cuenta con un amplio portafolio integral de soluciones que colaboran con las tecnologías de seguridad cognitiva y están enfocadas en reducir considerablemente el número de incidentes de seguridad y el número de eventos con falsos positivos lo cual mantiene en un alto nivel de estrés al personal de IT. La oferta de soluciones está basada en arquitecturas integrales que se comunican entre sí y ayudan a las empresas a reducir los costos de soporte y mantenimiento y costos operativos con un mejor resultado en su seguridad. Los más de 700 especialistas de Ricoh en seguridad a nivel global analizan los requerimientos en particular de cada uno de los clientes para que inviertan en tecnologías que implementan los últimos avances en ‘Machine Learning’, Análisis de ‘Big Data’ e Inteligencia Artificial aplicados a la seguridad.

¡MANTENGÁMONOS EN CONTACTO!

Nos encantaría que estuvieras al día de nuestras últimas noticias y ofertas 😎

Autorizo al Prensario y a los anunciantes a almacenar los datos solicitados y acepto que puedan enviarme comunicaciones de sus productos y servicios. *

¡No hacemos spam! Lee nuestra política de privacidad para obtener más información.

252 4 minutos de lectura
Mostrar más

Publicaciones relacionadas

Navegando las aguas de la incertidumbre: adaptación y resiliencia en la era de la IA 

04/10/2024

Ciberseguridad como plataforma, una solución a los desafíos de ciberseguridad actuales en Latinoamérica

04/05/2024

CAIO: ¿Quién supervisa el uso de IA en entornos laborales?

04/03/2024

La IA aumentará la inteligencia humana, no la reemplazará

04/03/2024

Deja una respuesta

Botón volver arriba