Los ciber-delincuentes han comenzado a utilizar servicios Cloud y técnicas de cifrado como método para evitar su detección ocultando la actividad command-and-control.
Así se desprende del Informe Anual de Ciber-seguridad 2018 de Cisco, que desvela también la intención de los profesionales de Seguridad de apoyarse en mayor medida y reforzar la inversión en herramientas de defensa basadas en Inteligencia Artificial (AI) y aprendizaje automático (machine learning) para reducir el tiempo y la capacidad operativa de los atacantes.
Utilizar tecnología de aprendizaje automático puede ayudar a reforzar las defensas de seguridad de red, “aprendiendo” a lo largo del tiempo cómo detectar de forma automática patrones inusuales en entornos de tráfico web cifrado, Cloud, e IoT (Internet of Things).
Algunos de los 3.600 directores de Seguridad (CISOs, Chief Information Security Officers) consultados para el estudio Cisco 2018 Security Capabilities Benchmark incluido en el Informe, afirman estar ya utilizando o considerando utilizar herramientas como IA y aprendizaje automático, a pesar de quejarse del número de falsos positivos que aún generan dichos sistemas.
Conclusiones adicionales del Informe
• El coste económico o de los ataques no es hipotético.
o Según los directivos encuestados, más de la mitad de todos los ciber-ataques tuvieron un coste económico superior a los 500.000 dólares, incluyendo -pero no limitado a- pérdida de ingresos, clientes, oportunidades de negocio y gastos extra.
• Los ataques a la cadena de suministro aumentan en términos de velocidad y complejidad. Estos ataques pueden afectar a los ordenadores a gran escala, y persistir durante meses o incluso años.
Los defensores deberían ser conscientes del riesgo potencial de utilizar software o hardware de organizaciones que no parecen tener una estrategia de seguridad responsable.
o Dos ataques de este tipo en 2017 -Nyetya y Ccleaner- infectaron a los usuarios atacando software fiable.
o Los defensores deberían comprobar la eficacia de las tecnologías de seguridad de terceros para ayudar a reducir el riesgo de los ataques a la cadena de suministro.
• La seguridad es cada vez más compleja, aumenta el alcance de las vulnerabilidades. Los defensores están implementando una compleja combinación de soluciones de múltiples proveedores para protegerse frente a las vulnerabilidades. Esta mayor complejidad, junto al aumento de vulnerabilidades, reduce la capacidad de defensa de las organizaciones incluyendo mayor riesgo de pérdidas económicas.
o En 2017, el 25% de los profesionales de Seguridad afirmaron estar utilizando soluciones de entre 11 y 20 proveedores, frente al 18% en 2016.
o Los profesionales de Seguridad admitieron que el 32% de las vulnerabilidades afectaron a más de la mitad de sus sistemas (15% en 2016).
• Los profesionales de Seguridad refrendan el valor de las herramientas de análisis de comportamiento para localizar a los ciber-delincuentes en las redes.
o El 92% de los consultados afirmaron que las herramientas de análisis de comportamiento funcionan adecuadamente.
o Dos tercios de los encuestados en el sector de atención sanitaria -seguido por servicios financieros- destacaron que estas herramientas funcionan realmente bien para identificar a los ciber-delincuentes.
• Crece el uso del Cloud; los atacantes se aprovechan de la falta de seguridad avanzada. En el estudio de este año, el 27% de los responsables de Seguridad confirmaron estar usando Clouds privados externos (off-premise), frente al 20% en 2016.
o Entre ellos, el 57% albergan redes en la nube por la mejor seguridad de datos; el 48%, debido a su escalabilidad; y el 46% por su facilidad de uso.
o Aunque el Cloud ofrece una mejor seguridad de datos, los atacantes aprovechan el hecho de que los equipos de Seguridad tienen dificultades para defender los cambiantes y crecientes entornos Cloud. La combinación de mejores prácticas, tecnologías avanzadas de seguridad como machine learning, y herramientas de primera línea de defensa como las plataformas de seguridad Cloud pueden ayudar a proteger este entorno.
• El creciente volumen de malware afecta al Tiempo de Detección (TTD, Time to Detection) de los defensores.
o El Tiempo medio de Detección de nuevas amenazas de Cisco se ha reducido hasta cerca de 4,6 horas para el período de entre noviembre de 2016 y octubre de 2017, desde las 39 horas registradas en noviembre de 2015 y las 14 horas alcanzadas entre noviembre de 2015 y octubre de 2016.
o El uso de tecnología de seguridad basada en Cloud ha sido un factor clave para ayudar a Cisco a alcanzar y mantener este TTD medio en un valor tan bajo. Un TTD menor ayuda a los defensores a actuar con mayor rapidez para detener vulnerabilidades.
“La evolución del malware durante el pasado año demuestra que nuestros adversarios siguen aprendiendo. Debemos subir el listón ahora e inculcar en toda la organización, desde los directivos hasta los departamentos de negocio y de tecnología, la necesidad de practicar una seguridad efectiva, ya que hay demasiado riesgo y reducirlo depende de nosotros”, afirma John N.Stewart, Vicepresidente Senior y Director de Seguridad y Confianza en Cisco.
