Piensa en cómo protegerías tu casa. ¿Preferirías invertir en unas rejas fuertes, un set de cámaras de vigilancia, una ruidosa alarma o en detectores de movimiento para monitorear los rincones oscuros? ¿O preferirías usar todos ellos para mejorar la protección?
Mantener segura la red de tu negocio requiere de preguntas similares. Usar un sistema de seguridad basado en un solo tipo de tecnología es un buen comienzo, pero ¿qué les impedirá a los cibercriminales robar información valiosa si encuentran la forma de evadirlo?
para construir defensas fuertes y robustas deberías optar por múltiples tecnologías complementarias
Una compañía que busca construir defensas fuertes y robustas debería optar por una solución que ofrezca múltiples tecnologías complementarias con altas tasas de detección y un número bajo de falsos positivos. En otras palabras, una que atrape a los ladrones pero no reaccione cuando el perro de un vecino cruza el jardín.
Tanto el código como la actividad maliciosa pueden tomar diversas formas, pero lo que tienen en común es su esfuerzo por permanecer fuera del radar de las soluciones de seguridad implementadas. Los creadores de malware se esfuerzan sobremanera en ello, y sus métodos evolucionan al mismo tiempo que los avances en ciberseguridad.
Sin embargo, algunos fabricantes que defienden la post-verdad argumentan que para enfrentar todas las amenazas, las compañías solo necesitan una capa de protección que use el algoritmo de machine learning más nuevo. Sin actualizaciones, sin nube ni inútiles capas adicionales. Naturalmente, esta solución de capa única es el producto que ofrecen.
A pesar de los últimos avances en inteligencia artificial, que han sido mayormente logros de grandes empresas como Google, Facebook y Microsoft, ni siquiera los algoritmos más recientes de ciberseguridad constituyen una bala de plata capaz de ir contra todas las amenazas. De hecho, solo ofrecen apenas un paso más que puede mejorar la seguridad del endpoint, pero también puede ser fácilmente superada por los adversarios cuando los sistemas de seguridad complementarios están ausentes.
Mientras que superar una única barrera puede derivar en una infección, múltiples barreras capaces de detectar ítems maliciosos, incluso cuando están modificados, hacen que los ciberataques sean más difíciles y costosos de ejecutar, lo que fuerza a los cibercriminales a cambiar el comportamiento de su código.
Por qué más es mejor
Las redes corporativas son parecidas a los organismos complejos. Se componen de varios nodos (órganos), cada uno de los cuales tienen un rol, importancia y derechos diferentes. Identificar actividad maliciosa en un sistema tan complejo puede ser difícil, especialmente si la solución de protección está tratando de rastrear todo a través del mismo lugar.
Es cierto que un perímetro fuerte puede mejorar la ciberseguridad de una empresa, liberando a los endpoints de escanear constantemente cada ítem en busca de actividad maliciosa. Sin embargo, si es la única barrera de protección frente a los atacantes, una vez que la superan no hay nada más que los detenga.
múltiples barreras hacen que los ciberataques sean más difíciles y costosos de ejecutar
Ten en cuenta que evadir soluciones de seguridad es el trabajo diario de un cibercriminal y, como se ha demostrado una y otra vez, cualquier sistema o función puede ser burlado con el suficiente esfuerzo. Cuando hay soluciones de múltiples capas implementadas, incluso si una de ellas es evadida, queda una serie de tecnologías para hacer frente a un ataque en su siguiente etapa.
Así que incluso si el malware es lo suficientemente cauteloso como para evitar ser detectado en un correo electrónico, no significa que no será bloqueado o borrado más adelante, cuando trate de hacer estragos en la memoria del sistema. Lo mismo aplica para un código malicioso que depende de un retraso en sus actividades fraudulentas para evadir la detección, o de quedarse en un sistema durante varios meses mientras espera a que un tipo de archivo específico desencadene los próximos procesos maliciosos.
Incluso una máquina inteligente puede ser engañada
Muchos de los fabricantes que defienden la post-verdad argumentan que sus soluciones trabajan con una base diferente. Dicen que sus algoritmos de machine learning (aprendizaje automático) pueden aprender de manera local y descubrir muchas de las técnicas usadas por los atacantes. Pero la verdad es que la mayoría de los métodos cibercriminales evolucionan, y pueden ser lo suficientemente sofisticados como para engañar a las máquinas "inteligentes" más nuevas.
los cibercriminales evolucionan y pueden engañar a las máquinas "inteligentes" más nuevas
Para nombrar unos pocos ejemplos, pensemos en la esteganografía. Los atacantes solo necesitan insertar el código malicioso en archivos inofensivos como imágenes; como está enterrado en un pequeño pixel, la máquina puede ser engañada por el archivo, que es casi imposible de distinguir del original no malicioso.
De manera similar, la fragmentación también puede ocasionar que un algoritmo de detección evalúe en forma incorrecta. Los atacantes dividen el malware en partes y lo esconden en varios archivos separados. Cada uno de ellos está "limpio" si lo miras por separado; solo cuando todos convergen en un equipo o red empiezan a demostrar comportamiento malicioso.
Con solo una capa de monitoreo, esta actividad puede pasar desapercibida, ya que el algoritmo "inteligente" necesitaría una óptica más aguda para ver el problema en su totalidad. Usar múltiples tecnologías, combinadas con un contexto global y actualizaciones, puede ofrecerte el panorama completo y bloquear de manera exitosa incluso los intentos de ataque más nuevos y sofisticados.
¿Por qué no bloquear estas técnicas?
Si bien el enfoque descrito arriba puede ser usado con fines maliciosos, es totalmente legítimo en otros contextos. Cada cliente corporativo es diferente y los equipos pueden tener diversos ajustes. Algunas compañías, por ejemplo, usan software o archivos que parecen muy sospechosos pero son perfectamente legítimos para sus propósitos.
Claro, si eres un fabricante del rubro de la ciberseguridad con una base de usuarios de decenas de miles o tal vez cientos de miles de endpoints, puedes contactar a aquellos pocos que se encuentren frente a algún problema. Pero ¿qué pasa si ese número crece a decenas o cientos de millones?
Solo años de experiencia y pruebas pueden demostrar cómo refinar soluciones para que se adapten a un grupo tan grande de clientes empresariales. Del mismo modo, requiere una inversión de años poder desarrollar las capas de protección adecuadas para estar un paso adelante de los cibercriminales y proteger a las masas de usuarios de Internet.
Los analistas en el campo de la ciberseguridad también han llegado a ver los problemas asociados con el uso de una única tecnología de protección y aconsejan precaución al elegir entre los denominados vendedores "de próxima generación" (next-gen) y los establecidos, citando al primero como complementario, pero no como una alternativa al último.
La serie completa de artículos sobre este tema:
- Editorial: combatiendo la “nueva verdad” con realidad en el ámbito de la ciberseguridad
- ¿Qué son machine learning y la inteligencia artificial?
- Los conceptos erróneos y malentendidos más comunes sobre ML y AI
- Por qué la seguridad basada en ML no asusta a los adversarios inteligentes
- Por qué una línea de defensa no es suficiente, aunque sea machine learning
- Cazando fantasmas: Los costos reales de las tasas altas de falsos positivos
- Cómo las actualizaciones fortalecen tu solución de seguridad
- Conocemos ML, lo hemos estado usando durante más de una década
Con la contribución de Jakub Debski & Peter Kosinar.