Fortinet presentó sus predicciones para 2019 en el ámbito de las amenazas cibernéticas y la ciberseguridad, periodo en el que se esperan avances significativos en las herramientas y servicios cibernéticos que aprovechan la automatización y los precursores de la inteligencia artificial (IA).
En opinión de Fortinet, las organizaciones deben adoptar la automatización y la IA para reducir el tiempo desde la intrusión a la detección y desde la detección a la contención.
Los ciberataques serán más inteligentes y más sofisticados
Para muchas organizaciones criminales, las técnicas de ataque se evalúan no solo en términos de su efectividad, sino también en los gastos generales necesarios para desarrollarlas, modificarlas e implementarlas.
Como resultado, algunos ataques pueden ser interrumpidos al hacer cambios en las personas, los procesos y las tecnologías.
Una forma en que las organizaciones están haciendo esto es mediante la adopción de nuevas tecnologías y estrategias, como el aprendizaje automático y la automatización, para realizar actividades tediosas y prolongadas que normalmente requieren un alto grado de supervisión e intervención humana.
Es probable que estas nuevas estrategias de defensa tengan un impacto en las estrategias de los ciberdelincuentes, haciéndolos cambiar los métodos de ataque y acelerar sus propios esfuerzos de desarrollo.
En un esfuerzo por adaptarnos al mayor uso del aprendizaje automático y la automatización, las predicciones apuntan a que la comunidad de delincuentes cibernéticos adoptará las siguientes estrategias, que la industria de la ciberseguridad en general deberá seguir de cerca.
Fuzzing de inteligencia artificial (AIF) y vulnerabilidades
Fuzzing ha sido tradicionalmente una técnica sofisticada utilizada en entornos de laboratorio por investigadores de amenazas profesionales para descubrir vulnerabilidades en las interfaces y aplicaciones de hardware y software.
Esto se hace al inyectar datos no válidos, inesperados o semi-aleatorios en una interfaz o programa y luego monitorear eventos como fallas, saltos no documentados a las rutinas de depuración, aserciones de códigos fallidos y posibles fugas de memoria.
Sin embargo, a medida que los modelos de aprendizaje automático se aplican a este proceso, es probable que esta técnica será más eficiente y personalizada.
Mientras los ciberdelincuentes comiencen a aprovechar el aprendizaje automático para desarrollar programas automatizados, podrán acelerar el proceso de descubrimiento de vulnerabilidades de día cero, lo que llevará a un aumento en los ataques de día cero dirigidos a diferentes programas y plataformas.
Minería de día cero usando AIF
Una vez que AIF está en su lugar, se puede apuntar el código dentro de un entorno controlado para explotar las vulnerabilidades de día cero. Una vez que se habilite la minería como servicio de día cero, cambiará drásticamente la forma en que las organizaciones deben abordar la seguridad, ya que no habrá manera de anticipar dónde aparecerán estos ataques, ni tampoco cómo defenderse adecuadamente contra ellos.
Esto será especialmente difícil cuando se utilicen herramientas de seguridad aisladas o heredadas que muchas organizaciones tienen implementadas hoy en sus redes.
El ‘precio’ de los ataques de día cero
Históricamente, el costo de los ataques de día cero ha sido bastante alto, principalmente debido al tiempo, el esfuerzo y la habilidad necesarios para descubrirlos. Pero a media que la tecnología de IA se aplique a lo largo del tiempo, tales explotaciones pasarán de ser extremadamente raras a convertirse en una mercancía.
Ya hemos presenciado la mercantilización de explotaciones más tradicionales como ransomware y botnets, y los resultados han llevado a muchas de las garantías tradicionales a sus límites.
La aceleración en la cantidad y variedad de vulnerabilidades y explotaciones disponibles, incluida la capacidad de generar rápidamente explotaciones de día cero y proporcionarlas como un servicio, puede afectar radicalmente los tipos y costos de los servicios disponibles en la web oscura.
Enjambre-como-servicio
Avances significativos en ataques sofisticados impulsados por tecnología de inteligencia basada en enjambres nos están acercando a la realidad de las botnets basadas en enjambres conocidas como ‘hivenets’.
La progresión de esta generación emergente de amenazas se utilizará para crear grandes enjambres de bots inteligentes que pueden operar de forma colaborativa y autónoma.
Estas redes de enjambre no solo elevarán el nivel en términos de las tecnologías necesarias para defender a las organizaciones, sino que al igual que la minería de día cero, también tendrán un impacto en el modelo comercial subyacente de los ciberdelincuentes.
A la larga, a medida que evolucionen las tecnologías de explotación y las metodologías de ataque, su impacto más significativo será en los modelos de negocio empleados por la comunidad de ciberdelincuentes.
En la actualidad, el ecosistema criminal está muy impulsado por las personas. Los hackers profesionales contratados crean ataques personalizados a cambio de una tarifa, e incluso los nuevos avances como el ransomware-como-servicio, requieren que los ingenieros criminales aporten diferentes recursos para la creación y prueba de ataques, y para la administración de servicios C2 back-end.
Pero cuando se ofrece enjambre-como-servicio autónomo y de autoaprendizaje, la cantidad de interacción directa entre un hacker-cliente y un empresario criminal se reduce drásticamente.
Enjambres-a-la-carta
La capacidad de subdividir un enjambre en diferentes tareas para lograr un resultado deseado es muy similar a la forma en que el mundo se ha movido hacia la virtualización.
En una red virtualizada, los recursos pueden aumentar o disminuir las máquinas virtuales en función de la necesidad de abordar problemas particulares como el ancho de banda.
Del mismo modo, los recursos en una red de enjambre podrían asignarse o reasignarse para abordar desafíos específicos encontrados en una cadena de ataque.
Un enjambre que los empresarios criminales ya han preprogramado con una gama de herramientas de análisis y exploits, combinados con protocolos de autoaprendizaje que les permiten trabajar en grupo para refinar sus protocolos de ataque, hace que la compra de un ataque para los ciberdelincuentes sea tan simple como seleccionar de un menú a la carta.
Envenenamiento de aprendizaje automático
El aprendizaje automático es una de las herramientas más prometedoras en el kit de herramientas de seguridad defensiva. Los dispositivos y sistemas de seguridad pueden capacitarse para realizar tareas específicas de forma autónoma como establecer líneas de base de comportamiento, aplicar análisis de comportamiento para identificar amenazas sofisticadas, o rastrear y aplicar parches a los dispositivos.
Desafortunadamente, este proceso también puede ser explotado por los adversarios cibernéticos. Al enfocarse en el proceso de aprendizaje automático, los ciberdelincuentes podrán capacitar dispositivos o sistemas para que no apliquen parches o actualizaciones a un dispositivo en particular, ignoren tipos específicos de aplicaciones o comportamientos, o no registren tráfico específico para evadir la detección.
Esto tendrá un importante impacto evolutivo en el futuro del aprendizaje automático y la tecnología de inteligencia artificial.
Las defensas se harán más sofisticadas
Para contrarrestar estos desarrollos, las organizaciones continuarán elevando el estándar contra los ciberdelincuentes. Cada una de estas predicciones defensivas tendrá un impacto en las organizaciones cibernéticas, obligándolas a cambiar sus tácticas, modificar ataques y desarrollar nuevas formas de evaluar oportunidades.
El costo de lanzar sus ataques aumentará, lo que requerirá que los desarrolladores criminales gasten más recursos para el mismo resultado o encuentren una red más accesible para explotar.
Tácticas de engaño avanzadas
La integración de técnicas de engaño en las estrategias de seguridad que introducen variaciones de red creadas alrededor de información falsa obligará a los atacantes a validar continuamente su inteligencia de amenazas, gastar tiempo y recursos para detectar falsos positivos y garantizar que los recursos en red que pueden ver son realmente legítimos.
Y dado que cualquier ataque a recursos de red falsos se puede detectar de inmediato, lo que desencadena automáticamente las contramedidas, los atacantes deberán ser extremadamente cautelosos al realizar hasta tácticas más básicas como sondear la red.
Colaboración abierta unificada
Una de las formas más fáciles para que un ciberdelincuente maximice la inversión en un ataque existente y posiblemente evite la detección es simplemente hacer un cambio menor, incluso algo tan básico como cambiar una dirección IP. Una forma efectiva de mantenerse al día con estos cambios es compartir activamente la inteligencia de amenazas.
La inteligencia de amenazas continuamente actualizada permite que los proveedores de seguridad y sus clientes se mantengan al tanto del panorama de amenazas más reciente.
Los esfuerzos de colaboración abierta entre organizaciones de investigación de amenazas, alianzas de la industria, fabricantes de seguridad y agencias de aplicación de la ley acortarán significativamente el tiempo para detectar nuevas amenazas al exponer las tácticas utilizadas por los atacantes.
Sin embargo, en lugar de ser solo receptivo, la aplicación de análisis de comportamiento a las fuentes de datos en vivo a través de la colaboración abierta permitirá a los defensores puedan predecir el comportamiento del malware, evitando así que el modelo actual de ciberdelincuentes aproveche repetidamente el malware existente.
La velocidad, integración y automatización son fundamentales para la ciberseguridad
No hay una estrategia de defensa futura que implique automatización o aprendizaje automático sin un medio para recopilar, procesar y actuar sobre la información de amenazas de manera integrada que aproveche la sofisticación de una respuesta inteligente.
Para enfrentar la creciente sofisticación de las amenazas, las organizaciones deben integrar todos los elementos de seguridad en un entramado de seguridad para encontrar y responder a velocidad y escala.
La inteligencia avanzada de amenazas correlacionada y compartida en todos los elementos de seguridad debe automatizarse para reducir las ventanas de detección necesarias y proporcionar una rápida remediación.
La integración de productos puntuales desplegados en la red distribuida, combinada con la segmentación estratégica, ayudará significativamente a combatir la naturaleza cada vez más inteligente y automatizada de los ataques.