Select Page
Ciber predicciones 2020

Ciber predicciones 2020

Para finalizar el año, les dejo este análisis de diferentes predicciones en ciber seguridad para el 2020 hechas por distintos sitios especializados en el tema.
Se acerca el fin de año (bueno, hoy es fin de año) y todos hacen sus balances del año que pasó y sus proyecciones de lo que puede venir. Hace algunas años hice algún balance. Este año quise dejarles un análisis de sus predicciones hecho a unos 20 sitos de ciber seguridad. En cada sitio se utilizan diferentes criterios para evaluar y proyectar qué es lo que puede pasar en materia de ciber seguridad en el año que comienza mañana.
Esta vez, mi trabajo fue recopilar todas esas proyecciones, extraer los temas que cada uno trata como destacado y darles un puntaje a cada tema. Ese puntaje fue dado arbitrariamente por mí en función de la cantidad de veces que se repetía un tema en los diferentes sitios y de la importancia que cada uno le da a cada tema.
El puntaje entonces, correspondería al interés que se le asigna a cada tema.
El resultado fue un score sobre 23 temas extraídos de los diferentes sitios.

 

Los sitios con los que me quedé fueron los siguientes:

Helpnetsecurity, Circadence, CheckpointTheHackerNewsCyberSecurityMag, Information edgeTechrepublic, SdxcentralCyberscoop, ScmagazineWatchGuardForbes y Forescout.

Y el resultado fue el que se ve en la figura a continuación:

El gráfico está ordenado de mayor a menor interés. En los temas de las predicciones se mezclan varias categorías. El tema de interés puede ser:

  • un ataque
  • un blanco
  • un vector de ataque
  • una contramedida

Brevemente, los temas de interés se definen de la siguiente forma:

Phishing + Awareness: Se refiere específicamente a ataques de phishing (que se verían muy incrementados en 2020) y a su principal contramedida: la concientización.

Cloud: Según los especialistas, la gran adopción que se hizo de la nube en 2019 y la que se proyecta para 2020, servirá de vector de ataque en muchos de sus servicios. El que más se destaca por sus vulnerabilidades es Office365.

Inteligencia artificial: Ya se vienen utilizando técnicas de Inteligencia Artificial y Machine Learning en sistemas de ciber defensa. Se había proyectado de la misma forma que se empezarían a utilizar estas técnicas como ataques, sin embargo no se tiene registro que ese tipo de ataques se hubiese producido todavía. Pero se prevé para 2020…

Ransomware: En los primeros lugares en las predicciones siguen estando los ataques de ransomware. Es realmente incomprensible que existiendo tecnologías que permiten bloquear Ransomware con 100% de efectividad, sea ésta una de las principales amenazas para 2020.

IoT: El enorme crecimiento de la base instalada de dispositivos de Internet de las Cosas y sus múltiples vulnerabilidades, hacen prever un incremento en los ataques durante el próximo año.

Deepfakes: De estos ataques se habla muchísimo en los Estados Unidos debido a que 2020 es año de elecciones. Las noticias e información falsa se considera un arma muy poderosa a la hora de tratar de modificar las intenciones de los votantes.

5G/WiFi: El advenimiento de la tecnología 5G, sus vulnerabilidades o las asociadas a los dispositivos móviles y las propias de WiFi hacen prever una gran actividad de ataques utilizando algunos de estos mecanismos.

Gobiernos: Existe gran preocupación por la intervención de gobiernos o estados en la generación de ciber ataques.

Widen attack surface: El incremento en el tamaño de la superficie de ataque global es un hecho para 2020. Esto se deberá a diversos factores como ser: el incremento en la cantidad de vulnerabilidades, la utilización masiva de la nube con sus vulnerabilidades propias o la incorporación de millones de dispositivos IoT vulnerables.

Robots: Se prevé un gran incremento de la utilización de técnicas de automatización en procesos para el año próximo. Si bien estas técnicas ayudan mucho a los administradores de seguridad, también lo hacen (y lo harán) a los atacantes…

Skill Gap: Ya se viene hablando hace un tiempo de un aspecto en el mundo de la ciber seguridad que es realmente preocupante. Es la brecha de conocimientos que existe entre quienes atacan y quienes defienden. Los atacantes tienen más conocimientos que los defensores. La brecha viene en aumento y se prevé que para 2020 seguirá en aumento.

Servicios financieros: Otro blanco de ciber ataques que sigue en aumento son los servicios financieros y bancarios. Se dice que esto seguirá en aumento en 2020.

Reuso de passwords: Una falla que hoy por hoy no debería existir, inconcebiblemente parecería que en 2020 irá en aumento.

Infrastructuras Críticas: Lo que comenzó con Stuxnet hace ya 10 años, es una carrera que no se ha detenido. Cada vez más las Infraestructuras Críticas serán blanco de ataques.

Sector de Salud: Otro sector, por cierto muy descuidado desde el punto de vista de ciber seguridad, sería blanco de ciber ataques durante 2020 mucho más en en años anteriores.

Zero trust: Este nuevo concepto se visualiza como una tendencia a implementar durante 2020 para evitar ser blanco de ciber ataques.

Móviles: Las vulnerabilidades en las aplicaciones móviles harán que haya muchos más ataques de este tipo el año próximo.

PyMEs: Un ámbito que hace unos años parecía no atractivo para ciber atacantes, lo es cada vez más y parecería que las PyMEs serán blanco de ciber ataques mucho más que en años anteriores.

Computación cuántica: Varios especialistas hablan de cómo la computación cuántica será un ante y un después en la ciber seguridad.

Detección de amenazas: Los sistemas SIEM son cada vez más complejos pero a su vez conllevan un incremento en la fatiga del analista. Se dice que durante 2020 mejorarán las técnicas para utilizar estas tecnologías en la detección de amenazas. Veremos…

Ciber Seguros: Un rubro que viene creciendo silenciosa pero inexorablemente parece tener previsiones de mejoras en sus mecanismos y en su adopción.

Privacidad: Del mismo modo que varios países intentan poner límites a la privacidad del uso de las redes, existen muchas iniciativas para saltear esos límites. Al parecer, esta guerra se intensificaría en 2020.

DevSecOps: Dado  que hoy en día, el software es una de las mayores fuente de vulnerabilidades, la adopción de esta metodología se incrementaría considerablemente durante el próximo año.

 

Al final del 2020 haremos el ejercicio de ver cuánto se cumplieron estas predicciones.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Mi viejo antivirus ya no es lo que era…

Mi viejo antivirus ya no es lo que era…

…ya no es lo que era…
…ya no es lo que era…

A pesar que no pasaron tantos años, muy lejos estamos de los viejos y tradicionales antivirus.

Muy lejos de la época en que era suficiente tener un buen antivirus actualizado en las estaciones de trabajo para tener un nivel de protección adecuado.

Hoy el nivel de amenazas es tan sofisticado, que los antiguos antivirus ya no funcionan y los sistemas de protección se vieron obligados a evolucionar. De hecho, hoy evolucionaron también los conceptos, y ya no protegemos estaciones de trabajo o servidores, protegemos endpoints.

Y qué es un “endpoint“? es cualquier dispositivo con capacidad conectarse, emitir y recibir paquetes en una red TCP/IP. El término puede referirse a servidores, desktops, laptops, teléfonos inteligentes, tablets, thin clients, impresoras o cualquier otro hardware especializado, como terminales POS, ATMs, ATSs, dispositivos IoT.

El objetivo de la mayor parte de los ataques a los sistemas es comprometer al blanco y obtener accesos que, finalmente, resulten en la pérdida o exposición de un recurso o un conjunto de datos. A pesar de los múltiples niveles de protección, los atacantes tienen a su disposición una gran cantidad de técnicas y herramientas que les permiten pasar desapercibidos y obtener el acceso que buscan.

Un atacante que quiere ingresar a un sistema de forma indebida, debe completar una secuencia de eventos para robar información o ejecutar malware. Casi todos los ataques se basan en comprometer un endpoint. Aquí es donde el viejo antivirus se ve reemplazado por la  Protección Avanzada de Endpoints (AEP), cuyo objetivo es el de interrumpir un ataque antes de que pueda comprometer al endpoint. Hoy en día, los mejores AEP combinan múltiples métodos de prevención como el aprendizaje automático, la inteligencia artificial, el reconocimiento de patrones o algoritmos predictivos para detectar y bloquear malware y para contener actividades sospechosas.

Si bien cada vendor hace sus propias definiciones, se puede decir que los sistemas AEP se pueden dividir en tres tipos:

EDR
Endpoint Detect and Response (Detección y respuesta en endpoints)
Esta tecnología está diseñada para desarrollar funciones de monitoreo continuo y respuesta a amenazas avanzadas.

Los sistemas EDR se diferencian de otras plataformas de protección, como antivirus y anti-malware, en que el objetivo principal, al contrario que sus abuelos… es detener las amenazas en la fase de pre-infección. Los EDR se centran en proveer visibilidad completa de los endpoints. De esta forma, brindan la información necesaria para ayudar a los analistas de seguridad a descubrir, investigar y responder a las amenazas más avanzadas. También ayudan en las campañas de ataque más amplias que se extienden a través de múltiples endpoints. Los EDR más avanzados poseen componentes de inteligencia artificial que les permiten tomar decisiones en forma automática disminuyendo la intervención humana y, por lo tanto, los riesgos, los errores y un nuevo problema fundamental presente en muchos operadores de diversos tipos de sistemas: la Alert Fatigue o Fatiga al recibir alertas en forma constante.

Las características que incluyen la mayoría de las soluciones EDR son:

  • Capacidad de detectar y prevenir procesos de exploit ocultos que son más complejos que una simple firma o patrón y evaden el AV tradicional.
  • Inteligencia en amenazas
  • Visibilidad en todos los endpoints, incluidas aplicaciones, procesos y comunicaciones, para detectar actividades maliciosas y simplificar la respuesta a incidentes.
  • Automatización de alertas, así como respuestas defensivas o desactivación de procesos específicos cuando se detecta un ataque.
  • Capacidades forenses, ya que una vez que el atacante está adentro, se necesita la habilidad de investigar detalladamente sus actividades para poder entender sus movimientos y minimizar el impacto de la intrusión.
  • Recolección de datos para construir un repositorio utilizado para el análisis

EPP
Endpoint Protection Platform (Plataforma de Protección de Endpoints)
Según la definición de Gartner, una EPP es una solución distribuida sobre múltiples dispositivos endpoints para prevenir ataques de malware basados en archivos, detectar actividades maliciosas y proporcionar capacidades de investigación y reparación necesarias para responder a incidentes de seguridad y alertas dinámicas.

Las capacidades de detección pueden variar, pero las soluciones avanzadas utilizan múltiples técnicas de detección, desde IOCs (Indicators Of Compromise=Indicadores de Compromiso) estáticos hasta análisis de comportamiento.
Una característica distintiva es que la mayoría de las soluciones de EPP se gestionan principalmente en la nube. Esto permite la supervisión y recopilación continuas de datos. junto con la capacidad de realizar acciones de reparación remotas. Esto es posible tanto si el endpoint se encuentra en la red corporativa como fuera de la oficina. Además, estas soluciones están asistidas por datos en la nube, lo que significa que el agente del endpoint no tiene que mantener una base de datos local de todos los IOCs conocidos, sino que busca en la nube para encontrar los datos sobre objetos sospechosos que no puede clasificar.

NGAV
Next Generation AntVirus (Antivirus de Próxima Generación)
Estos productos son, como su nombre lo indica, una generación avanzada de antivirus. Es decir que a las características y funciones que contienen los antivirus actuales, agregan funcionalidades avanzadas. Tal como está descripto en ese artículo, las funciones que los NGAV agregan a los AV tradicionales son:

  • Contención de exploits de modo de evitar que un exploit se ejecute en el endpoint.
  • Inteligencia en amenazas
  • Creación y mantenimiento de listas blancas de aplicaciones permitiendo solo a ciertas aplicaciones aprobadas ser ejecutadas en el sistema.
  • Utilización de la característica de micro virtualización de los procesadores Intel para evitar que el proceso se ejecute directamente.
  • Inteligencia artificial que adapta al agente o conjunto de agentes en una red a adaptarse a los cambios del mismo modo que lo haría una persona.
  • Recolección de información forense para efectuar análisis post-infecciones.

 

Si bien estas nuevas características son muy avanzadas, la simple inclusión de éstas dentro de los motores antivirus tradicionales no agregan mejoras considerables al sistema final de protección.

Dado que todas estas características son en cierto modo similares y se encuentran mezcladas, en la siguiente tabla se puede ver un comparativo de los tres grupos de soluciones, comparadas con el antivirus tradicional:

 

 

 

La empresa NSS Labs, una de las empresas independientes más confiables a la hora de analizar productos de ciberseguridad, creó el grupo de pruebas de AEP y presentó sus resultados en la conferencia RSA de 2018. Allí es posible observar las conclusiones de las mediciones y pruebas de algunos de los productos del mercado.

Mucho han evolucionado los sistemas de protección desde los viejos antivirus. El cambio se produjo tan rápido, que mucha gente todavía no tomó conciencia de su existencia. Por eso, tal vez, sea muy curioso escuchar todavía hablar a reconocidos expertos en los medios, recomendando a la gente respecto a que una de las principales medidas de seguridad a la hora de proteger nuestros sistemas es la de: “tener un buen antivirus”…

Pero como acabamos de ver… mi viejo antivirus ya no es lo que era…

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.