Ciberseguridad adaptativa: claves para un mejor conocimiento
Se trata de un modelo de seguridad en tiempo real que investiga continuamente comportamientos y eventos para protegerse contra la amenaza y adaptarse a las amenazas en consecuencia antes de que sucedan. Ahora, ¿lo usan las empresas? Es más, ¿realmente lo conocen?
Para comenzar, diremos que la ciberseguridad adaptativa es un enfoque avanzado que utiliza tecnologías como el aprendizaje automático y la inteligencia artificial, de tal manera que analiza de manera continua el comportamiento del usuario y del sistema para aprender y adaptarse a los cambios en tiempo real de cara a identificar y responder a las amenazas de seguridad.
Este modelo incluye elementos clave tales como la visibilidad y la correlación entre las distintas tecnologías existentes, la detección de incidentes y una rápida respuesta frente a las amenazas. Además, un punto clave cada vez más demandado para conseguir una ciberseguridad adaptativa son los servicios de monitorización 24x7 o SOC, ya que una rápida respuesta por parte del personal cualificado puede evitar que un incidente acabe siendo una brecha importante con las pérdidas económicas y reputacionales que puede suponer para una empresa.
En consecuencia, “la implementación de la ciberseguridad adaptativa en una empresa implica la evaluación de riesgos, selección de tecnología, integración con sistemas existentes, formación y concienciación del personal, y monitoreo y actualización constante. La ciberseguridad adaptativa es esencial para proteger a las empresas de amenazas avanzadas y cada vez más sofisticadas”, dice Enrique Sánchez, Cybersecurity Presales Engineer, Ingram Micro.
Grosso modo, en esto consistiría la ciberseguridad adaptativa. Ahora vamos a analizar en mayor profundidad para que, en caso de que no la conozca, pueda sacarle el mayor provecho posible.
Análisis de la ciberseguridad adaptativa
“En primer lugar, hay que contextualizar el motivo por el cual es necesario implementar una estrategia diferente”, advierte José de la Cruz, director técnico de Trend Micro Iberia. Lo primero que dice este especialista es que los ciberataques son cada vez más sofisticados, dado que efectúan ataques de múltiple vector, diversifican técnicas de ataque y atacan a sus víctimas de manera dirigida y persistente.
“Esta realidad es corroborada por analistas independientes como Forrester quien, en su modelo Zero-trust, establece que tenemos que asumir la brecha aceptando que estos ataques terminarán ocurriendo en nuestras organizaciones”, apostilla.
En este contexto, prosigue este especialista, el principal factor que marca la diferencia es el tiempo de detección: a menor tiempo, menor impacto económico, reputacional y operativo.
“Ante esta situación los métodos tradicionales, basados en reglas y modelos de detección, ya sean estáticos o dinámicos, se antojan insuficientes. Y cuando decimos insuficientes no queremos decir inservibles, sino que deben complementarse de alguna manera”, apunta de nuevo.
Por lo tanto, José de la Cruz advierte de que es aquí donde entraría en juego esta seguridad adaptativa, pues es capaz de analizar tanto detecciones (caso de un malware detectado en un equipo) como telemetría (como puede ser el caso de un usuario que accede a una página web, en principio inocua) incorporando un modelo dinámico que proporcione, en su opinión:
· Análisis de la postura de seguridad: “Identificando los puntos débiles de la organización (por ejemplo: identidades inseguras, vulnerabilidades no parcheadas, etc.) para protegerlos de manera más efectiva.
· Bloqueo y detección temprana de incidentes.
· Detectando de manera temprana incidentes de seguridad antes de que supongan un mal mayor para la compañía.
· Control y respuesta.
· Respondiendo para erradicar la amenaza y mitigar el posible impacto.
“Ese ABC que toda compañía debería cumplir se corresponde a la perfección con los principios que rige a la tecnología XDR”, dice para concluir esta explicación.
Cómo implantarla en la empresa
Ese ABC ya mencionado (Análisis, Bloqueo y Control) se basa en tres principios:
· Recolección de información de cuantos vectores sea posible (correo, Endpoints, Cloud, red, etc.). ¿Por qué? Porque los ataques modernos buscan múltiples brechas de seguridad existentes en nuestra organización, de ahí la necesidad de incorporar fuentes de telemetría que analicen todos los vectores a los que estamos expuestos.
“En este sentido, el correo electrónico, representó el 54% de las amenazas detectadas durante 2022 seguido muy de cerca del Endpoint, con un 40%. Ambos deberían ser analizados de manera conjunta”, regresa José de la Cruz.
· Correlación de esa inteligencia por un sistema experto y coordinado. La inteligencia es fundamental para comprender que un comportamiento es incorrecto representando un riesgo. Se trata de conectar aquellos eventos que aislados no llaman la atención pero que, conjuntamente, pueden representar una seria amenaza.
“Esta inteligencia debería aplicarse de manera automática, basada en modelos entrenados por entidades de prestigio y no basarse únicamente en modelos de aprendizaje sobre la arquitectura del cliente pues estos pueden ser fácilmente maleables”, prosigue aquel especialista de Trend Micro Iberia.
· Respuesta automática: los atacantes, persistentes y dirigidos, saben cuándo somos más débiles. “Por lo tanto, nuestras contramedidas deben aplicarse de manera automática para mitigar total o parcialmente el ataque hasta que un ser humano pueda intervenir”, dice para concluir su intervención.
Puede leer aquí el reportaje completo.
