Cómo detectar hoy los ciberataques del mañana

  • Opinión

Borja Pérez, Stormshield

Los profesionales de la ciberseguridad se mueven continuamente entre el presente y el futuro, la reacción y la anticipación. Los ciberdelincuentes, cada vez más innovadores, se adelantan a las técnicas de protección implementadas por las soluciones de ciberseguridad consiguiendo, en ocasiones, burlar los sistemas más eficaces.

En este juego del gato y el ratón, los responsables corporativos de ciberseguridad dedican mucho tiempo a auditar sistemas y productos que les ayuden a detectar nuevas vulnerabilidades, concibiendo también nuevos modos de detección. En las empresas más grandes el resultado es la creación de un departamento de Inteligencia sobre Ciberamenazas (CTI) pero en las más pequeñas, esto no discurre así.

¿Cómo anticiparse a los ataques futuros?
Los ciberdelincuentes buscan continuamente superar la tecnología y atacar los puntos ciegos de las soluciones de detección y protección corporativas.

Esto significa que para anticiparse a las amenazas futuras no basta con apoyarse en herramientas de análisis como SIEM (Security Information & Event Management) y en algoritmos, sino que también es necesario desarrollar una metodología de control y protección que se adapte al entorno de trabajo. Esta ecuación incluye una mezcla de auditoría, ajuste y comprensión de los datos e inteligencia colectiva. Adicionalmente, la combinación de conocimiento sobre el atacante, la detección de amenazas y el uso sistemático de los SOC (Security Operation Center) forman una base sólida.

La ciberseguridad también debe ser proactiva. Por ejemplo, mediante el uso de Cyber Threat Hunting -la búsqueda activa de amenazas y comportamientos aún desconocidos- para localizar los métodos operativos del futuro. Los fabricantes necesitan un equipo de Inteligencia de Ciberamenazas para ajustar continuamente sus motores y reglas de protección y ser capaces de proporcionar a sus clientes flujos de datos en tiempo real para protegerse de las amenazas identificadas. Sin embargo, la contratación de "cazadores" no es una tarea fácil en estos tiempos de mercados laborales ajustados, y es un lujo que la mayoría de las empresas no pueden permitirse.

El mundo industrial
Un problema aún mayor supone el mundo industrial. ¿Existen realmente en el mercado perfiles de cazadores con conocimientos de los entornos de TI y OT? La convergencia TI/OT y la aparición de la Industria 5.0, que vuelve a situar al ser humano en el centro de la fábrica, están acentuando aún más las áreas de riesgo en los entornos de producción; la primera facilita el movimiento lateral del ransomware de un entorno a otro, mientras que la segunda aumenta aún más la dependencia de los individuos de sus ecosistemas informáticos.

Para proteger estos entornos, la aplicación sistemática de auditorías de cumplimiento de las máquinas de producción y de auditorías de seguridad de las infraestructuras de TI y OT se presenta como una buena opción, de cara a garantizar que las redes quedan segmentadas y se aplican buenas prácticas de ciberseguridad.

Otra alternativa pasa por aumentar el número de sondas de detección en los entornos de TI y OT para proporcionar a los analistas del SOC indicadores de ataques. Sin embargo, antes de poder utilizarlos, estos datos tendrían que ser correlacionados, contextualizados y compartidos en forma de flujo CTI, con el objetivo de capitalizar el conocimiento del atacante y su modus operandi.

A la espera de que estas dos orientaciones se hagan realidad, una combinación de herramientas de detección y protección sigue siendo la mejor solución para garantizar la seguridad de las infraestructuras industriales.

En el caso de los entornos más críticos, la llamada seguridad desconectada (que impide cualquier intrusión informática desde el exterior) es una solución radical. Estas infraestructuras no se comunican con Internet y, por tanto, los equipos informáticos solo las actualizan manualmente y caso por caso. Pero incluso en estos entornos remotos, el episodio de Stuxnet demostró que pueden producirse ataques directos a las máquinas.

Por último, no hay que olvidar al ser humano, ya que, en un entorno en el que los ataques adoptan diversas formas, con múltiples puntos de entrada, el ser humano sigue siendo un eslabón central de la cadena.

En el futuro, los analistas tendrán que hacer frente a la aparición de tecnologías que facilitan la suplantación, como las "deepfakes" de vídeo, rostros e incluso voces. O al aumento de texto, que genera miles de correos electrónicos con el mismo mensaje, pero con diferentes matices en el texto, una técnica que puede burlar las firmas de detección.

También, será necesario reforzar los métodos de identificación para asegurar que la persona con la que se habla es real, y, sobre todo, que es quién dice ser. Cuando se trata de prácticas de ingeniería social de este tipo, lo que sucede "entre la silla y el teclado" es sin duda muy importante.

Borja Pérez, Country Manager Stormshield Iberia