Detección de amenazas avanzadas mediante Machine Learning

Conexiones

Día con día las actividades humanas dependen cada vez más de los sistemas informáticos que ofrecen capacidades, eficiencia y conectividad sin precedentes.  Hace algunos años nadie hubiera pensado que aparatos de nuestra vida cotidiana como autos y televisiones estuvieran conectados a Internet y ahora es una realidad con el Internet de las Cosas (IoT). Por otra parte, las ventajas de los sistemas automáticos se aprovechan incluso en las infraestructuras críticas para distribuir, por ejemplo, la energía eléctrica, hidrocarburos o manejar presas hidroeléctricas. Esto otorga mayores alcances, pero a la vez incrementa la superficie de ataque que intrusos informáticos pueden explotar para fines no autorizados. Con actores cada vez más sofisticados, es fundamental enriquecer las defensas tradicionales con mecanismos que tengan el alcance de detectar ataques avanzados, capaces de evadir los mecanismos de seguridad típicos.

Las herramientas de seguridad tradicionales hacen un buen trabajo al identificar y detener amenazas conocidas, los atacantes poco sofisticados o malware conocido difícilmente pueden superar herramientas tradicionales bien operadas, diseñadas y actualizadas. Pero, ¿qué pasa cuando nos enfrentamos con amenazas más sofisticadas, con atacantes que diseñan ciberarmas que nunca han sido vistas y con tácticas innovadoras? Cuando esto ocurre, necesitamos herramientas con la capacidad para detectar ataques nunca antes vistos, con otros enfoques más allá de firmas o patrones conocidos.

La técnica más utilizada por las herramientas de seguridad tradicionales es detectar patrones maliciosos conocidos. En este caso, nos preguntamos, ¿mi herramienta de seguridad tradicional me hubiera protegido si el atacante la hubiera usado por primera vez en mi red? La respuesta es que probablemente no.

Independientemente de que los ataques sean avanzados, deben generar una anomalía en la red, por ello uno de los métodos más útiles para detectar amenazas avanzadas es Machine Learning, la cual se derivó de la inteligencia artificial y permite implementar un modelo que aprende de un sistema, sin que haya sido explícitamente programado para hacerlo. De esta forma, un sistema de este tipo, en primer lugar, aprenderá de la red que queremos proteger durante un cierto tiempo y a partir de ese aprendizaje afinará sus modelos de protección.

Así pues, durante la operación, el sistema analizará los eventos y los clasificará con base en lo aprendido. Si uno o varios de los modelos lo clasifican como malicioso, entonces enviará una alerta al equipo de seguridad para que investiguen el evento y, de confirmarse la brecha de seguridad, respondan al incidente apropiadamente, remedien las vulnerabilidades y mitiguen la amenaza.

Considerando que una brecha de seguridad tarda en promedio 200 días en identificarse, el contar con una herramienta de este tipo es sumamente útil para detectar anomalías con malware avanzado que es capaz de evadir las herramientas tradicionales de seguridad.

 

[email protected]

David Bernal Michelena, GCFE, GCFA, GREM, GXPN, GASF

Es ingeniero en computación por la Universidad Nacional Autónoma de México (UNAM). Desde junio de 2015 se desempeña como líder de investigación en el Centro de Ciberseguridad de Scitum (SCILabs). Sus actividades principales son análisis de ciberamenazas, análisis de malware, respuesta a ciberincidentes, evaluación de nuevas tecnologías, cómputo forense y la elaboración y mejora de reglas de detección y prevención de amenazas de seguridad. De 2013 a 2015 David trabajó en la empresa Alstom, como parte del equipo de seguridad a cargo del ambiente de equipos finales, donde realizó actividades de respuesta a incidentes, análisis de malware, gestión de SIEM y cómputo forense. Adicionalmente, de 2011 a 2013 se desempeñó como analista forense digital en Scitum. De 2009 a 2011 se desempeñó como analista forense digital y gestor de incidentes en UNAM-CERT. Ha impartido cursos especializados en temas de redes, programación, seguridad informática, análisis forense, análisis de memoria y análisis de malware incluyendo los cursos SANS 408, 508 y 610 del Instituto SANS. 

Tags:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.