Defensa en tiempo real para entornos multicloud frente a amenazas y ataques maliciosos

Los enfoques tradicionales basados en firmas son ineficaces en este punto y se hace necesaria una aproximación basada en inteligencia artificial que ayudará a detectar tanto amenazas conocidas como desconocidas que evolucionan con una elevada frecuencia. Esta problemática requeriría un nuevo paradigma de seguridad para abordar las preocupaciones y estrategias que se describen a continuación:

1. Focalizarse solo en la configuración o bastionado y no en la detección de amenazas

En muchas herramientas de seguridad en la nube la atención se centra en la revisión del estado de bastionado de la infraestructura mediante la detección de configuraciones incorrectas y violaciones de cumplimiento de normativas que puedan existir. Este enfoque ha facilitado que vulnerabilidades graves permanezcan sin corrección durante semanas porque es muy difícil actualizar los sistemas de producción sin desactivar todo el sistema. Es por tanto esencial una herramienta que permita una monitorización de activos en la nube continuamente a medida que se ejecutan las cargas de trabajo, lo que garantizará protección contra amenazas y ataques en tiempo de ejecución.

2. La detección de amenazas basada en firmas y sandboxes sigue siendo predominante

Todavía existe una gran cantidad de herramientas de seguridad que se basan en motores basados ??en firmas y sandboxes de malware para detectar amenazas, lo que da por supuesto que todas las amenazas se conocen de antemano y que se detectarán de acuerdo con sus características o comportamiento previo. Y la realidad es otra: estos sistemas de detección se pueden evadir fácilmente con una simple modificación. En este punto es donde la inteligencia artificial y el entrenamiento de redes neuronales pueden aportar un alto valor en la detección de amenazas conocidas y desconocidas que no son reconocidas por los métodos de detección tradicionales.

3. El escaneo periódico sin agentes pasa por alto malware a nivel de protocolo

Para brindar servicios de software de seguridad sin requerir el uso de agentes, algunas herramientas de seguridad han implementado un enfoque que utilizan snapshots o instantáneas periódicas de los sistemas de archivos para escanear máquinas virtuales o entornos de contenedores sin instalar agentes. Sin embargo, existe la posibilidad de que esta aproximación no pueda detectar amenazas que no están escritas en un sistema de archivos; tales amenazas se manifiestan solo en el tráfico de red o en la memoria de una máquina. Un problema derivado de estas soluciones es que ignoran las manifestaciones típicas de infección, como el tráfico de comando y control (que es un componente clave para determinar la fase inicial de un ataque), ataques de fuerza bruta, movimientos laterales o exfiltración de datos.

Para identificar todas las amenazas es clave, por tanto una monitorización continua de todo el tráfico de la red en la nube en tiempo real y las organizaciones actuales que operan en entornos de múltiples nubes necesitan apoyarse en una plataforma de detección y respuesta que utilice algoritmos de IA y aprendizaje profundo, capaz que cumplir así con los siguientes requisitos:

- Detectar la explotación activa y mitigar los riesgos en tiempo de ejecución: Inspeccionar el tráfico de la red en busca de comunicaciones sospechosas, actividades no autorizadas, criptomineros, malware desconocido y comunicaciones C2.

- Detectar amenazas de día cero: A diferencia de los enfoques basados ??en firmas o patrones, un enfoque basado en IA puede detectar nuevas amenazas a partir del contexto y el aprendizaje adquirido.

- Detectar amenazas en cualquier fase: Lograr detectar todas las técnicas y tácticas del marco de MITRE ATT&CK con protección adicional contra ataques emergentes basados ??en la nube.

- Implementación sin agentes en múltiples nubes sin fricción: lo que permite una rápida generación de valor en dichos entornos combinados y una enorme facilidad de despliegue.

- Mejor priorización de riesgos basada en datos de tiempo de ejecución: Para mejorar la seguridad es necesario identificar el contexto dinámicamente y tomar de forma automática las medidas necesarias.

Porque, en definitiva, lo que las empresas necesitan a día de hoy es una tecnología precisa que proporcione detección en cuestión de segundos, que no dependa de firmas obsoletas y funcione de forma nativa con la infraestructura de la nube para  brindar visibilidad y cumplimiento en todo el ecosistema.

Esto debería cubrir la mayor cantidad de amenazas que existe en la actualidad, desde, por ejemplo: comunicaciones de Comando y Control, incluyendo Beaconing (técnica con la que los atacantes comprueban que están dentro del objetivo y están preparados para continuar con el ataque) con un análisis e inspección del tráfico norte-sur puede ayudar a identificar actores maliciosos específicos o malware que se comunica con sus centros de control.

También nos ha de permitir conocer si existen movimientos laterales, es decir, adelantarnos al siguiente paso del atacante, que una vez que ha obtenido un acceso, requiere de un reconocimiento que determine dónde moverse a continuación o qué recursos están disponibles para la infiltración. SSH y RDP son dos de los protocolos más útiles para detectar estos movimientos laterales.

También tendremos que abordar la casuística de la exfiltración de datos, -ya que una vez que los activos se ven comprometidos, el atacante robará los datos o emitirá una solicitud de rescate-, así como la criptominería –identificar las comunicaciones que utilizan la interfaz JSON-RPC a través de HTTP, clásico “modus operandi” de estos ataques. 

.La solución de seguridad para la nube moderna

Claramente hay un problema con el enfoque de la seguridad en nube ya que está basado en la recopilación y el análisis manual de datos en silos independientes, lo que aumenta los tiempos de respuesta y, como resultado, aumenta el riesgo significativamente. Se hace por tanto imprescindible disponer de una plataforma única en la nube que proporcione de forma continuada el contexto de nuestro entorno y la inteligencia suficiente para poder no sólo detectar sino también predecir y anticiparnos todo lo posible. Además, poder orquestar nuestra gestión del riesgo de forma automatizada en estos entornos, es clave para el negocio.

Esto permitirá que los equipos de seguridad puedan enfocarse en tareas más complejas y de mayor valor para las compañías apoyándose en una tecnología innovadora que responde a las necesidades actuales de los entornos en la nube.

Por Sergio Pedroche, country manager de Qualys para España y Portugal