+65% de empresas en el mundo, fueron vulneradas por ataques sofisticados.
Los ciberataques sofisticados han crecido en tecnología, alcance e impacto en los últimos cinco años, manteniendo un alarmante ritmo de crecimiento a nivel mundial de tal forma que para el 2021 se espera que los daños por este delito asciendan a mas de seis billones de dólares.
En marzo de 2021, Jerome Powel, presidente de la reserva federal de los Estados Unidos, dijo que está mas preocupado por el riesgo de un ciberataque a gran escala que por otra crisis financiera como la del 2008. Según indicó, los riegos son cambiantes siendo los ciberataques de los mas importantes a gestionar.
Consideremos las siguientes estadísticas:
• El 68% de los directivos empresariales creen que el riesgo de ciberseguridad está creciendo (Accenture)
• Solamente el 5% de las empresas están siendo protegidas de forma adecuada (Varonis)
• La cifra anterior es coherente con la información publicada por Forbes en cuanto a que el 90% de los CISOS indican que sus mecanismos de defensa para ciberataques no han sido eficientes (Forbes)
Según un artículo publicado por la empresa CISCO, los ciberataques han venido a dar otro significado a la palabra “Sofisticado”.
Dentro de este contexto la pregunta es ¿Qué clase de ciberataques enfrentan las empresas?
Los ciberataques sofisticados operan en múltiples capas, es mas a las empresas son vulneradas literalmente legiones de hackers que concentran su esfuerzo en software especializado para vulnerar y anular los mecanismos de defensa tradicionales. De esta forma y en los últimos cuatro meses se han podido observar ciberataques a empresas, como, por ejemplo.
• Solarwinds: Una empresa dedicada a brindar servicios de monitoreo remoto fue vulnerada por un ciberataque sofisticado que a su vez infectó a miles de sus clientes, entre ellas entidades de gobierno y empresas de distintas industrias. Según la revista Newsweek, el ciberataque afectó al menos a 18,000 empresas a nivel global.
• Microsoft: El ciberataque al producto Microsoft Exchange ha revelado al menos 60,000 víctimas a nivel global. Según Tech24 esto podría traducirse en una amenaza mundial.
• Sonicwall: La empresa especializada en seguridad fue vulnerada por un ciberataque sofisticado que afectó al menos a dos de sus productos que a su vez, impactaron a sus clientes.
• Hospitales: Un ciberataque sofisticado afectó a cientos de hospitales de costa a costa en los Estados Unidos, dejándolos sin información para atender adecuadamente a sus pacientes de tal forma que tuvieron que ser referidos a hospitales que no habían sido afectados.
El sector salud es uno de los principales blancos de los ciberataques dada la criticidad de sus servicios y la relación directa entre el historial de atención médica y la efectividad del tratamiento brindado.
En el mes de febrero de 2021, algunos hospitales indicaron que habían tenido una merma de demanda de sus servicios del 64% dado que los pacientes preferían ir a hospitales que no habían sido vulnerados por los ciberataques.
Miles de víctimas alrededor del mundo se siguen sumado a esta lista mientras los mecanismos tradicionales de defensa siguen sin poder detener oportunamente estos ataques sofisticados.
Parte del problema radica en entender que, sistemas como:
• Firewalls
• SIEMS
• Antivirus
• Sistemas operativos
No fueron diseñados para detener ataques cibernéticos. Estos sistemas agregan características de ciberseguridad a sus modelos de detección, pero no pueden detener un ciberataque en los primeros segundos a partir de su inicio. Basta con las cifras previamente expuestas para demostrar este punto.
Los primeros tres segundos del ataque definen el éxito de su misión:
Hace a penas dos años atrás un ciberataque sofisticado tardaba 65 segundos en instalarse, hoy día a estos mismos ciberataques les toma menos de 30 segundos tomar el control del ambiente de una empresa.
De forma similar a los deportes de alto rendimiento, cada décima de segunda cuenta y hace la diferencia entre el éxito y el fracaso. Al ritmo vertiginoso en que, los ciberataques aumentan su velocidad y efectividad, se ha comprobado que el análisis requerido para detenerlos debe enfocarse en patrones de comportamiento mediante un análisis de bajo nivel (unos y ceros) para poder anularlos en las primeras décimas de segundo de su inicio.
Al pasar la barrera de los 3 segundos el ciberataque continuará su curso hasta quedar totalmente instalado en los siguientes 25 segundos. Estos ciberataques están diseñados para permanecer bajo el radar hasta lograr pleno control del ambiente donde se encuentren y así mismo hayan trasladado información importante a sus centros de comando, tarea que realizan con medios de comunicación que no son detectados por firewalls aún sean de última generación.
Técnicas para detener ataques sofisticados:
Múltiples soluciones en el mercado hablan ampliamente de su capacidad de detección y reacción ante ataques sofisticados en tiempo real, no obstante, es necesario entender cuál es su metodología de detección para saber si realmente
pueden ser efectivos:
Tiempo real pero relativo:
Esto lo presentan aquellos sistemas que se basan en aprendizaje automatizado (Machine Learning), usualmente hay una combinación entre aprendizaje supervisado (guiado por un experto) y el no supervisado, en el cual el sistema aprende en base a historia.
Esos sistemas precisan de información histórica de ciberataques para poder adaptarse y de esta forma detener ataques futuros que puedan presentarse. El problema es que los ciberataques sofisticados mutan decenas de veces por día de tal forma que no le brindan la posibilidad a ningún sistema basado en esta ciencia para aprender sobre la forma de operar de la amenaza y por consiguiente reaccionar en un tiempo adecuado.
Dicho sea de paso, la mayoría de las empresas basan su seguridad en estos mecanismos que han demostrado tener índices de falso positivo mayores al 40%.
Tiempo real en espejo:
Hay mecanismos como los SIEMs, que basan el análisis de información recibiendo información de la red en tiempo real al estar conectadas en un puerto espejo del Firewall. Esto tiene dos implicaciones muy importantes:
• Nunca van a poder detener un ciberataque porque cuando lo detectan, el ataque ya está presente en la red de la empresa
• Dependen de técnicas de inteligencia artificial, como machine learning, para detectar ciberataques y usualmente envían la información a un centro de seguridad de operaciones – SOC (Security Operations Center) que están diseñados para centralizar información donde sus colaboradores aplican procesos y tecnología para el monitoreo continuo de incidentes para prevenir ataques cibernéticos. El problema es que todo este proceso puede llegar a tomar varios días hasta decidir cuál es la mejor forma de detener un ciberataque, sin embargo, cuando llegan a estas conclusiones, el ataque ya tomó posición en las organizaciones. Según IBM el promedio para detectar un ciberataque toma 206 días.
Tiempo real en tiempo cero:
Este es el mecanismo utilizado por soluciones capaces de detectar patrones de comportamiento en décimas de segundo y neutralizar los ataques sofisticados. Sus características son las siguientes:
• Su análisis se realiza en patrones binarios (unos y ceros)
• Es agnóstico a las aplicaciones o sistemas operativos, dado que su análisis es binario
• Está diseñado para detener en tiempo cero (estadísticamente cero)
• Es totalmente automatizado. Siendo esta la principal de sus características. La tecnología de Robotic Process Automation – RPA le brinda las capacidades de detección y anticipación a los ataques sofisticados pudiendo detenerlos en tiempo cero.
Las tecnologías basadas en modelos de detección en tiempo cero son las únicas que han demostrado ser eficientes para detener ataques sofisticados.
Este tipo de tecnología ya es utilizada por gobiernos, empresas globales, ciudades inteligentes y múltiples empresas privadas.
El crecimiento de este tipo de tecnología está comenzando a notarse en el mercado y se espera que alcance su auge en los próximos tres años. Su velocidad de crecimiento depende totalmente del ritmo en que las empresas reconozcan su vulnerabilidad ante ciberataques sofisticados y decidan aplicar soluciones totalmente robotizadas para anular estos riesgos.
