Detección de amenazas avanzadas mediante Machine Learning

Conexiones

Día con día las actividades humanas dependen cada vez más de los sistemas informáticos que ofrecen capacidades, eficiencia y conectividad sin precedentes.  Hace algunos años nadie hubiera pensado que aparatos de nuestra vida cotidiana como autos y televisiones estuvieran conectados a Internet y ahora es una realidad con el Internet de las Cosas (IoT). Por otra parte, las ventajas de los sistemas automáticos se aprovechan incluso en las infraestructuras críticas para distribuir, por ejemplo, la energía eléctrica, hidrocarburos o manejar presas hidroeléctricas. Esto otorga mayores alcances, pero a la vez incrementa la superficie de ataque que intrusos informáticos pueden explotar para fines no autorizados. Con actores cada vez más sofisticados, es fundamental enriquecer las defensas tradicionales con mecanismos que tengan el alcance de detectar ataques avanzados, capaces de evadir los mecanismos de seguridad típicos.

Las herramientas de seguridad tradicionales hacen un buen trabajo al identificar y detener amenazas conocidas, los atacantes poco sofisticados o malware conocido difícilmente pueden superar herramientas tradicionales bien operadas, diseñadas y actualizadas. Pero, ¿qué pasa cuando nos enfrentamos con amenazas más sofisticadas, con atacantes que diseñan ciberarmas que nunca han sido vistas y con tácticas innovadoras? Cuando esto ocurre, necesitamos herramientas con la capacidad para detectar ataques nunca antes vistos, con otros enfoques más allá de firmas o patrones conocidos.

La técnica más utilizada por las herramientas de seguridad tradicionales es detectar patrones maliciosos conocidos. En este caso, nos preguntamos, ¿mi herramienta de seguridad tradicional me hubiera protegido si el atacante la hubiera usado por primera vez en mi red? La respuesta es que probablemente no.

Independientemente de que los ataques sean avanzados, deben generar una anomalía en la red, por ello uno de los métodos más útiles para detectar amenazas avanzadas es Machine Learning, la cual se derivó de la inteligencia artificial y permite implementar un modelo que aprende de un sistema, sin que haya sido explícitamente programado para hacerlo. De esta forma, un sistema de este tipo, en primer lugar, aprenderá de la red que queremos proteger durante un cierto tiempo y a partir de ese aprendizaje afinará sus modelos de protección.

Así pues, durante la operación, el sistema analizará los eventos y los clasificará con base en lo aprendido. Si uno o varios de los modelos lo clasifican como malicioso, entonces enviará una alerta al equipo de seguridad para que investiguen el evento y, de confirmarse la brecha de seguridad, respondan al incidente apropiadamente, remedien las vulnerabilidades y mitiguen la amenaza.

Considerando que una brecha de seguridad tarda en promedio 200 días en identificarse, el contar con una herramienta de este tipo es sumamente útil para detectar anomalías con malware avanzado que es capaz de evadir las herramientas tradicionales de seguridad.

 

[email protected]

David Bernal Michelena, GCFE, GCFA y ACE

Trabaja en Scitum desde el 2011. Actualmente forma parte del equipo de especialistas forenses de Scitum. De 2009 a 2011 se desempeñó como analista forense y de respuesta a incidentes de seguridad en el Equipo de Respuesta a Incidentes de Seguridad en Cómputo de la Universidad Nacional Autónoma de México (UNAM-CERT). Ha impartido cursos especializados en temas de redes, programación, seguridad informática y análisis forense, incluyendo el curso SANS Forensics 508 Advanced Computer Forensic Analysis and Incident Response en formato mentor. 

Tags:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*