La mayoría de las herramientas actuales de seguridad se centran sólo en la prevención – control de acceso, detección y bloqueo en el punto de entrada – para proteger los sistemas. Éstos escanean los archivos una vez en el punto inicial, al momento de determinar si son maliciosos. Pero, como era previsible, los atacantes entienden fundamentalmente la naturaleza estática de estas tecnologías de seguridad y están innovando en torno a sus limitaciones para penetrar la red y las defensas en los puntos finales.
Las últimas mejoras en la detección de amenazas incluyen la ejecución de los archivos en un entorno limitado para la detección y el análisis, el uso de capas de emulación virtuales para ofuscar el malware de los usuarios y los sistemas operativos, aplicaciones autorizadas basadas en reputación a los valores basados en aplicaciones aceptables maliciosas, y, más recientemente, simulación de la cadena de ataque y detección de análisis.
Si el archivo no se detecta o si evoluciona y se convierte en dañino después de entrar en el medio ambiente, las tecnologías de punto en el tiempo de detección ya no son útiles para identificar el despliegue de seguimiento sobre las actividades del atacante.
Los ataques avanzados no se centran en lo que tradicionalmente consideramos el destino – los límites de la empresa. Están enfocados en el viaje, aprovechando una serie de vectores de ataque, teniendo factores de forma sin fin, al lanzar ataques a través del tiempo, y ofuscar la exfiltración de datos. Estos ataques no se limitan a un punto en el tiempo, pero se están realizando y requieren de un escrutinio continuo.
Con el fin de detectar las amenazas avanzadas y la actividad de infracción con mayor eficacia, los métodos de seguridad no pueden centrarse sólo en la detección y prevención, pero también deben incluir la capacidad de mitigar el impacto una vez que un atacante entra. Las organizaciones necesitan observar su modelo de seguridad de manera integral y lograr una protección continua y la visibilidad a lo largo de todo el recorrido – desde el punto de entrada, a través de la propagación, y después la solución de la de la infección.
Para ello, se requiere un modelo de seguridad que combine una arquitectura de datos con una capacidad continua para superar las limitaciones de las tecnologías tradicionales de detección y respuesta de punto en el tiempo. Con un verdadero modelo continuo, los profesionales de seguridad pueden responder a preguntas clave como:
- ¿Cuál fue el método y punto de entrada?
- ¿Qué sistemas se vieron afectados?
- ¿Qué hizo la amenaza?
- ¿Puedo detener la amenaza y la causa de raíz?
- ¿Cómo recuperarse de ella?
- ¿Cómo podemos evitar que suceda nuevamente?
- ¿Puedo perseguir rápidamente Indicadores de Compromiso (COI) antes de que afecten mi operación?
En este modelo, la información de telemetría en el nivel de proceso se recoge continuamente a través de todas las fuentes mientras está ocurriendo, y siempre actualizado cuando se requiere. El análisis puede ser estratificado para trabajar en conjunto para eliminar los efectos de los puntos de control y ofrece niveles avanzados de detección durante un período prolongado de tiempo. El análisis es más que la enumeración de eventos y correlación; también implica entrelazar información de telemetría por un mayor conocimiento de lo que está sucediendo en todo el entorno. Recurriendo a una amplia comunidad de usuarios, la inteligencia global se actualiza continuamente y se comparte de inmediato y se correlacionó con los datos locales para una toma de decisiones más informada.
Un enfoque continuo, junto con una gran arquitectura de datos permite la innovación transformadora en la batalla contra las amenazas avanzadas que se dirigen al punto final. Por ejemplo:
- Detección que se mueve más allá de un punto en el tiempo. Un enfoque continuo permite que la detección sea más eficaz, eficiente y generalizada. Los métodos de detección de comportamiento como sandboxing sirven como insumos para el análisis y la correlación continua, la actividad se captura conforme se desarrolla, y la inteligencia es compartida a través de motores de detección y puntos de control.
- Monitoreo que permite el ataque tejido en cadena. La retrospección, la capacidad de volver atrás en el tiempo para supervisar los archivos, procesos y comunicación contra las últimas informaciones, y luego entrelazar esa información en conjunto para crear un linaje de actividad proporciona una visión sin precedentes en un ataque como sucede.
- Analíticos avanzados, automatizados, que observan comportamientos en el tiempo. Combinando análisis de datos grandes y capacidades continúas para identificar patrones y de la COI que van surgiendo, permite a los equipos de seguridad centrar sus esfuerzos en las amenazas que más importan.
- Investigaciones que están más dirigidas, son rápidas y eficaces. La transformación de la investigación en una cacería enfocada para amenazas basadas en hechos reales y de la COI, da a los equipos de seguridad de una manera rápida y eficaz para comprender y el alcance de un ataque.
- Contención veloz y quirúrgica. Con el nivel de visibilidad que el enfoque continuo proporciona, los equipos de seguridad pueden identificar las causas específicas y cerrar todos los puntos de compromiso y de infección puertas de enlace simultáneamente para evitar el movimiento lateral de un atacante y romper la cadena de ataque.
En este modelo, la detección y la respuesta ya no son disciplinas o procesos separados, sino una extensión del mismo objetivo: detener las amenazas avanzadas. Yendo más allá de las metodologías tradicionales de punto en el tiempo, la capacidad de detección y respuesta son continuas e integradas. Es lo que se requiere para la detección avanzada de amenazas y la respuesta que se centra en el viaje, no sólo el destino.
Por Rafael Chávez, Regional Sales Manager de Sourcefire de Cisco México