La naturaleza está llena de ejemplos de organismos que detectan amenazas en el ambiente y responden de forma dinámica a ellas. Ejemplos obvios son nuestro sistema inmunológico y el camaleón. Hay otros ejemplos menos evidentes, como el estudiado recientemente en un ecosistema en África del Sur, formado por una población de acacias y otra de antílopes. Los animales se alimentaban de las hojas de los árboles de forma moderada, en equilibrio, hasta que en un determinado día, por razones desconocidas, la población de antílopes creció. Como consecuencia, la demanda por las hojas de los árboles también aumentó. Estas, sintiéndose amenazadas, reaccionaron produciendo toxinas en sus hojas, las cuales fueron letales para los animales. Lo interesante de este caso es que las acacias demostraron alguna capacidad predictiva: al analizar el histórico de consumo de sus hojas y su capacidad de regeneración, observaron una tendencia de aumento de consumo arriba de su capacidad de regeneración. La detección de la amenaza no fue “binaria” y sí sofisticada a punto de concluir que a partir de un punto la sobrevivencia de las plantas estaba en riesgo. Ante este análisis, una nueva “arquitectura” de sus hojas (con toxina) fue adoptada.
En el escenario empresarial, ocurre que las arquitecturas de Tecnología de la Información (TI) de grandes organizaciones son cada día más complejas. No es exageración decir que estas empiezan a rivalizar con la complejidad de algunos organismos. Proteger los datos críticos del negocio en este tipo de ambiente se vuelve un trabajo cada vez más desafiante: las arquitecturas de seguridad se volvieron complejas, algunas veces se encuentran en silos, lo que aumenta los costos, la probabilidad de errores y fallas, además de disminuir la eficacia de la arquitectura de seguridad como un todo.
Ante esto, cada vez más organizaciones de TI parten de la premisa de que los sistemas están comprometidos y exigen monitoreo continuo, con mecanismos de respuesta automática e inmediata, buscando contener amenazas activas y neutralizar potenciales vectores de ataque. De hecho, Gartner prevé que los presupuestos en seguridad en los próximos años deberán enfocarse cada vez más en los temas de monitoreo y remediación continuas e inmediatas.
Una táctica posible para implementar este modelo de forma eficaz es la Arquitectura de Seguridad Adaptativa (ASA), que de acuerdo con Gartner está compuesta por los siguientes pilares:
- Capacidad preventiva: este es el conjunto de políticas, herramientas y procesos que buscan prevenir la ocurrencia de ataques exitosos. Incluso que venga a crecer menos en los próximos años, en lo que respecta a los temas de monitoreo y respuesta continua, no hay duda que es importante prevenir. Pero observe la necesidad de modelos de prevención Zero Trust, que pueden ser datos por micro-segmentación definida por software, aumentando la seguridad sin aumentar los costos.
- Capacidades de detección: son los controles concebidos para identificar ataques que evadieron de forma exitosa las medidas preventivas. Hoy en día, en esta área son necesarios elementos que dan un paso adelante, además de la simple correlación de eventos (dada por herramientas SIEM - Security Information and Event Management), incorporando algoritmos de Data Analytics, Machine Learning, detección de estándares y comportamientos que estén fuera de la normalidad de las operaciones usuales, etc.
- Capacidades de respuesta: proporcionan una forma de responder a la amenaza – sea encogiendo la superficie de ataque, disminuyendo su velocidad, actuando en su remediación, entre otros aspectos. Un tema relevante aquí es la capacidad de respuesta automática a una determinada amenaza. Una buena opción es integrar el sistema de detección con una tecnología dinámica como la micro-segmentación, lo que permite prontamente colocar en una red especial de cuarentena, un sistema comprometido, evitando el movimiento lateral del atacante o el esparcimiento de malwares en la red.
- Capacidades predictivas: son aquellas que permiten a la organización prever ataques, analizar tendencias y pasar de una postura de seguridad reactiva a una proactiva. Como el panorama de amenazas es dinámico y evoluciona de forma rápida, es fundamental una combinación eficaz de las técnicas de detección avanzadas apuntadas arriba, con una sofisticada red de Inteligencia de Amenazas – que agregue inteligencia específica del sector de la economía, suministradas por fabricantes, identificadas por proveedores globales de servicios de monitoreo de seguridad, amenazas cazadas (“threat hunting”) en redes sociales, dark web, etc.
-----
Leonardo Carissimi es Director de Soluciones de Seguridad de Unisys en América Latina.
- Log in to post comments