Más del 90% de las empresas a nivel mundial han sido vulneradas por algún tipo de ataque en los años recientes y de manera incremental, a pesar de contar con una protección perimetral y de antivirus.
Las razones por las cuales los ciberataques han mantenido efectividad se debe a la naturaleza cambiante y evasiva de los mismos. Hoy dia es mayormente posible detectarlos con tecnologías basadas en reconocimiento de patrones y mediante el uso de cajas de arena (Sandbox). No obstante, aún están sujetas a ser superadas si el código del malware cuenta con mecanismos de evasión, incluso permitiendo la activación del malware tiempo después de su llegada a la red.
El malware primitivo buscaba de manera estadística y general el lanzamiento de ataques de forma masiva para ver cuántas víctimas eran infectadas El malware de nueva generación ha generado la capacidad de burlar sistemas avanzados de detección, porque cuenta con algoritmos de evasión que detectan que está siendo analizado por un ambiente virtual y no por un dispositivo de un usuario real.
Los ataques han evolucionado y en vez de ser masivas, ahora son dirigidos –más conocidos como Advanced Persistent Threat (APT)-, buscando primero identificar las vulnerabilidades en el navegador o en el software del usuario por medio de un ‘Exploit Kit’ para luego lanzar el ataque con base a esta vulnerabilidad, es decir; un ataque a un objetivo concreto previamente reconocido.
En gestión de herramientas predictivas, si se quiere mitigar el riesgo de manera proactiva, necesitamos mantenernos al día sobre los nuevos tipos de amenazas y vectores de ataque documentados en más de un millón de boletines de seguridad, informes de amenazas y noticias publicadas cada año.
La analítica avanzada y otras herramientas de software ayudan a los analistas de seguridad a detectar anomalías e identificar las amenazas de alto riesgo, pero el volumen de información, combinado con la velocidad y sofisticación de los ataques, ha hecho casi imposible estar continuamente al corriente de todos los tipos de ataques.
Los procesos cognitivos juegan un papel esencial en el desarrollo de las personas, en tanto son los responsables de procesar y asimilar todo tipo de datos e informaciones. Una de las grandes pretensiones de los desarrolladores de software y de sistemas informáticos ha sido precisamente, emular y mejorar los procesos cognitivos de las personas, es decir; automatizar la analítica envolvente de la inteligencia humana.
El concepto de ‘Seguridad Cognitiva’ enmarca un sistema de ciberseguridad que sigue una lógica similar a la del cerebro humano.
La computación cognitiva tiene la capacidad de aprovechar y dar sentido a los datos –hablamos en puntual de los datos de seguridad, que antes representaba un punto ciego en la defensa de una organización, lo que nos permite obtener conocimiento y responder en avanzada a las amenazas con mayor fiabilidad y velocidad.
Los sistemas cognitivos son entrenados, no programados, usando los mismos tipos de información no estructurada en la que nos basamos los analistas de seguridad. Al igual que nosotros, el sistema puede aprender sobre la marcha, siendo capaz de reconocer los términos y establecer relaciones entre ellos, por lo que puede entender las preguntas y razonar para responderlas.
La seguridad cognitiva promete revolucionar las soluciones de seguridad actuales y ser un complemento de los dispositivos de seguridad en las arquitecturas establecidas ya que reúne las tecnologías de redes neuronales, la inteligencia artificial y Big Data y las integra junto con las soluciones de seguridad convencionales.
Un caso específico, son los ataques 0-day, los cuales explotan una vulnerabilidad no detectada aun por el fabricante del hardware o del software y que en consecuencia no pueden ser detectadas mediante algún mecanismo estático como el del antivirus. Considerar que los desarrolladores de malware han desarrollado técnicas de evasión aplicadas a sistemas de detección de intrusos (IPS), mediante la manipulación de cabeceras o en el mismo cuerpo de las tramas de paquetes. Otras técnicas de evasión pueden incluir ofuscación, cifrado de paquetes, fragmentación y mecanismos de violación de protocolo.
La problemática a resolver es compleja. Se trata de llevar a cabo una estrategia de contención eficiente, conlleva a un crecimiento proporcional en la cantidad de talento humano empleado para atender volúmenes abrumadores de información, lo cual no es factible, pues en realidad, las tendencias a corto plazo, indican que la cantidad de ataques siempre será mayor que la cantidad de gente que pueda atender estos eventos.
La seguridad cognitiva promete ser un complemento de los mecanismos de seguridad conocidos. Vuelve más inteligente a los algoritmos y mecanismos de detección basados en antivirus y sandboxing, implementando técnicas de machine learning e inteligencia artificial para permitir mayor capacidad de detección de amenazas que utilizan técnicas de evasión regular y avanzada.
Por otro lado, los sistemas de detección y protección de intrusos pueden convertirse en mecanismos de detección menos vulnerables capaces de detectar nuevos patrones de tráfico maliciosos que mediante análisis cognitivos requieran menor entrenamiento, administración y seguimiento por parte de los administradores de seguridad.
Sin duda, las sofisticaciones de los ciberataques requieren de múltiples conocimientos y experiencias acumuladas. La interacción de varias personas al mismo tiempo que lleven a cabo varias tareas de mitigación para reducir el costo y el impacto del ataque en curso ya no es suficiente. Así las cosas, la seguridad cognitiva promete ser el complemento requerido, una nueva frontera aplicando Machine Learning, Deep Learning e Inteligencia Artificial.
Fuentes consultadas: Digital Biz Magazine, Prensario IT Diario