Más allá de las firmas: Modernización de SecOps
Uso de la detección del comportamiento de la IA para superar a los atacantes avanzados
Por sí solos, los modelos de ciberseguridad convencionales no son rival para el volumen, la variedad y la velocidad de las amenazas a las que se enfrentan hoy en día las organizaciones. Los equipos de seguridad que dependen de modelos heredados y reactivos seguirán intentando alcanzar a los adversarios, los cuales están utilizando una gama cada vez mayor de herramientas avanzadas y capacidades de IA, disponibles de forma inmediata, para lanzar ataques y evitar ser detectados.
Los equipos de operaciones de seguridad modernos deben operar dentro de un nuevo modelo de ciberseguridad que pueda detectar y responder rápidamente a un volumen cada vez mayor de ataques indiscriminados, y que a la vez deben tener la capacidad de orientarse y defenderse con rapidez frente a ataques sofisticados y selectivos de agentes de amenazas organizados con un objetivo definido y bien documentado.
Las organizaciones ahora pueden complementar sus procesos y herramientas SecOps existentes con funcionalidades de análisis y detección de anomalías de comportamiento que antes eran demasiado costosas, lentas y requerían demasiada mano de obra para su implementación. Al identificar actividades que se desvían de los patrones normales establecidos, el análisis de comportamiento, junto con las técnicas de orientación contextual, ayuda a las organizaciones a detectar, responder e investigar las amenazas antes de que puedan causar daños.
¿Qué hace que la detección de anomalías de comportamiento sea distinta?
El análisis de comportamiento no es nuevo. La implementación de soluciones puntuales para analizar el comportamiento de un solo sistema y casos de uso aislados, como la clasificación de correos electrónicos de phishing, ha sido durante mucho tiempo una estrategia de ciberseguridad común y exitosa. Sin embargo, hasta hace poco, los costes y las exigencias de recursos que implica la implementación del análisis conductual a gran escala han sido demasiado grandes para la mayoría de las organizaciones.
Con la creciente disponibilidad de técnicas de IA y AA, esta barrera ha disminuido significativamente. Las organizaciones ahora pueden utilizar herramientas basadas en IA y AA para analizar y clasificar cantidades importantes de datos, como registros de actividad, uso de aplicaciones y tráfico de red, desde diversos sistemas y entornos. Pueden establecer una línea base de «actividad normal» y, a continuación, supervisar continuamente los datos nuevos para detectar desviaciones de esa línea base.
Tradicionalmente, los equipos de operaciones de ciberseguridad han confiado en herramientas basadas en firmas y reglas que utilizan patrones de ataque previamente observados. Buscan pruebas de actividad maliciosa en los análisis de datos de eventos en directo y datos de registro históricos recopilados durante las investigaciones posteriores a la brecha. Sin embargo, la compleja naturaleza multivectorial de los ataques modernos y los procedimientos operativos de adversarios sofisticados hacen que las técnicas estáticas de detección y mitigación estén prácticamente obsoletas.
El análisis del comportamiento es una alternativa importante a los enfoques tradicionales. Implementado junto con capacidades consolidadas, incluyendo la gestión de la seguridad y la información (SIEM) y la detección y respuesta extendida (XDR), este enfoque permite una detección y mitigación eficientes y rápidas de las amenazas modernas y heredadas a la infraestructura empresarial y los activos corporativos.
El análisis de comportamiento funciona identificando patrones nuevos e inusuales en el comportamiento de la red, el sistema, los agentes y el usuario. No se basa en patrones de comportamiento ni en indicadores de ataque obseervados y registrados previamente. En otras palabras, la detección del comportamiento está diseñada para detectar nuevas amenazas en lugar de artefactos de ataque, lo que ayuda a los equipos de seguridad a pasar de responder a las consecuencias de los ciberataques, a prevenirlos y anticiparlos en primer lugar.
Métodos basados en firmas frente a análisis de comportamiento
Herramientas basadas en firmas o en reglas…
Busca amenazas conocidas (patrones, direcciones IP/dominios maliciosos, comportamientos de malware)
Son de naturaleza reactiva (identifican principalmente los ataques después del compromiso)
Pueden pasar por alto amenazas internas, ataques zero-day y otras amenazas modernas
Análisis de comportamiento…
Busca anomalías y excepciones en el comportamiento típico (actividad anómala del sistema, agente, usuario y red)
Está diseñado para ser proactivo (detecta posibles ataques antes o poco después de que estos ocurran)
Es asequible, accesible y escalable gracias a los avances de la IA
Ventajas con respecto a otros enfoques de detección del comportamiento
Las organizaciones que adoptan el análisis del comportamiento como una estrategia de seguridad central disfrutan de estas tres ventajas sobre los enfoques anteriores:
1. Aumento de la detección tradicional basada en firmas.
Los enfoques de observabilidad basados en firmas y patrones son reactivos. Las organizaciones que solo aprovechan estas técnicas se limitan a identificar perfiles de ataque después de que otros los hayan descubierto y analizado previamente en forma de firmas empaquetadas o indicadores de compromiso (IOC).
Por el contrario, el análisis del comportamiento es proactivo. Busca actividad inusual en sus primeras etapas, detectando indicadores de ataque (IOA), como intentos de suplantación de identidad (phishing), actividad de red sospechosa o interacciones inusuales del usuario con sistemas y servicios. Esta detección temprana basada en anomalías permite a los equipos de ciberseguridad adelantarse a los adversarios y evitar intentos de intrusiones antes de que puedan causar daños.
2. Obtén un ecosistema de defensa integral y asequible.
Las herramientas tradicionales se centran en una apertura limitada, como el sistema, el usuario o la red, y no incorporan el contexto. El análisis conductual, por otro lado, integra datos de múltiples fuentes para proporcionar un análisis contextual enriquecido. La información de contexto interno y externo puede ayudar a garantizar que no todo comportamiento inusual se señale como malicioso. Las herramientas de análisis de comportamiento pueden determinar, con un grado de probabilidad específico, si una actividad es maliciosa o benigna una vez que se ha entrenado un modelo en un sistema o una red.
Históricamente, la implementación de este tipo de análisis contextual ha sido costosa. Antes se requería una potencia de cálculo significativa y flujos de trabajo laboriosos para almacenar, procesar e interrogar grandes volúmenes de conjuntos de datos heterogéneos. Los avances en la ingeniería de datos habilitada para la IA y la correlación de eventos han hecho que el análisis enriquecido en contexto sea mucho más asequible que los enfoques anteriores basados en análisis impulsados por humanos.
3. Mejora la adaptabilidad a las amenazas y los flujos de trabajo modernos.
Los modelos de análisis de comportamiento aprenden continuamente y se adaptan a las nuevas amenazas y a los nuevos flujos de trabajo. Por ejemplo, vamos a suponer que implementas un agente de IA. Con el tiempo, el modelo aprenderá los comportamientos autónomos de ese agente y los definirá como normales. Si el agente de IA se ve comprometido o se desvía de los patrones establecidos de actividad permitida, el modelo detectará este comportamiento anómalo y, si procede, suspenderá al agente o limitará las acciones que puede realizar sin intervención humana.
La detección de comportamiento también tiene en cuenta las nuevas formas de trabajar. Por ejemplo, podrías decidir expandir tu negocio a nivel mundial y establecer nuevas sucursales en otros países. Tras un período inicial de ajuste, el modelo aprenderá que los inicios de sesión remotos desde esas ubicaciones a determinadas horas del día no son de naturaleza fraudulenta, sino que reflejan un nuevo patrón normal.
Estrategias de análisis de anomalías en el comportamiento
Muchas organizaciones ya cuentan con algunas capacidades de análisis de comportamiento integradas en plataformas de seguridad, identidad o de puntos finales. Sin embargo, no todos los equipos comprenden cómo aprovechar al máximo estas capacidades distribuidas, y la fatiga de la seguridad puede provocar fallos. Las siguientes prácticas recomendadas pueden ayudar a tu equipo a implementar y utilizar la detección de comportamiento de manera eficaz.
1. Defina el alcance y la integración.
Tanto si planea obtener un mayor valor de las capacidades existentes y los datos generados por sus entornos como si está considerando una nueva solución, primero debes identificar los posibles casos de uso. Por ejemplo, puede que te interese centrarte en identificar posibles amenazas internas, descubrir movimientos laterales o intentos de filtración de datos. Incluso podrías definir tus casos de uso de forma más precisa. Por ejemplo, es posible que desees detectar "viajes imposibles" cuando un usuario parece iniciar sesión en la red desde dos ubicaciones distantes en un plazo de tiempo irrazonablemente corto. O puede que desees detener las infracciones repetidas de prevención de pérdida de datos (DLP) cuando los empleados mueven o comparten información confidencial de formas que infringen las políticas de seguridad internas.
2. Entrena y optimiza modelos.
El análisis del comportamiento se puede automatizar y orquestar en varios sistemas y puntos de aplicación de la seguridad. Prioriza la formación y la optimización de los modelos de IA, así como las integraciones que permiten esta automatización. La formación inicial ayuda al modelo a comprender qué aspecto tiene lo “normal”. El ajuste y el reaprendizaje continuos te ayudan a mantenerte al día con los comportamientos de las amenazas en evolución.
Podrías ayudar y acelerar el proceso de formación introduciendo intencionadamente patrones de ataque maliciosos en lugar de esperar a que se produzca un comportamiento malicioso. Con el tiempo, los modelos se basarán en los comportamientos aprendidos y asignarán puntuaciones de confianza a sus predicciones de anomalías maliciosas frente a anomalías benignas.
3. Aprovecha la IA para una defensa avanzada.
Históricamente, el análisis del comportamiento se ha basado en varios algoritmos de aprendizaje automático para evaluar y detectar anomalías. El empleo de modelos de IA generativa (GenAI) optimizados y aumentados localmente, así como de IA agéntica, puede ayudar a optimizar aún más la detección de anomalías en un entorno protegido. Gracias a estas capacidades más avanzadas, las soluciones de análisis de comportamiento reducen la carga de trabajo de los investigadores humanos, correlacionan las anomalías con bases de conocimiento más amplias y automatizan las defensas de siguiente nivel, incluyendo la capacidad de aplicar cambios de control ascendentes, poner en cuarentena los hosts y suspender las cuentas de usuario.
4. Presta atención a la interoperabilidad.
Elige una solución de análisis del comportamiento que se integre con tus herramientas existentes. De lo contrario, es probable que acabes dedicando demasiado tiempo y dinero a deshacerse y sustituir las soluciones que ya tienes ahora. Por ejemplo, una solución de análisis de comportamiento debe integrarse —y complementar— las capacidades de detección y respuesta existentes, incluyendo las herramientas SIEM. Las herramientas SIEM tradicionales analizan los eventos en tiempo real, correlacionando datos de eventos de múltiples fuentes para determinar y revelar patrones de ataque predefinidos. En cambio, los sistemas SIEM modernos incluyen aspectos del análisis de comportamiento para evaluar el comportamiento del usuario y del dispositivo a lo largo del tiempo, perfeccionando continuamente un modelo de referencia interno de IOAs.
5. Anticípate a los falsos positivos.
No todas las anomalías son maliciosas. Sin embargo, al igual que con muchos enfoques impulsados por la IA, existe el riesgo de falsos positivos y falsos negativos. Minimizar los comportamientos clasificados erróneamente podría requerir alguna forma de intervención humana, incluyendo la colaboración en el ciclo. En particular, será necesario ajustar los modelos para reducir el ruido y mejorar la clasificación del comportamiento. También puedes implementar fuentes de correlación y enriquecimiento inteligentes específicas para el entorno protegido y el modelo operativo de tu empresa para añadir contexto adicional a la detección de comportamientos maliciosos y anómalos.
Ten en cuenta que los modelos también necesitan tiempo para estabilizarse y adaptarse, y requieren supervisión humana para casos complejos. El éxito depende no solo de la tecnología, sino también de equipos cualificados que operan con procesos bien definidos para interpretar y actuar según los datos de detección.
6. Define las métricas para el éxito.
Establece indicadores clave de rendimiento (KPIs) para medir el valor de las inversiones en análisis del comportamiento a lo largo del tiempo. Por ejemplo, podrías medir el tiempo necesario para detectar los intentos de acceso inicial y la predicción de las técnicas óptimas de intervención de ataques. Los KPIs adicionales podrían medir la reducción resultante del tiempo de permanencia de los atacantes o evaluar el impacto potencial de un ataque mitigado en caso de haber tenido éxito.
¿Estás utilizando la estrategia de detección de anomalías correcta?
Las defensas tradicionales basadas en firmas y reglas no son suficientes por sí solas para defender contra las amenazas de seguridad de rápida evolución y los adversarios decididos. Incorporar la detección de anomalías de comportamiento en tu estrategia de operaciones de seguridad puede ayudarte a establecer un enfoque más proactivo para las defensas cibernéticas integrales al detectar posibles amenazas antes de que causen daños.
Cloudflare utiliza diversas técnicas de aprendizaje automático e IA para operar una conectividad cloud global y ofrecer servicios de vanguardia a las organizaciones. El análisis de comportamiento de usuarios y entidades (UEBA) forma parte de la oferta Unified Risk Posture, un conjunto de capacidades que reúne soluciones de servicios de seguridad en el perímetro (SSE), aplicaciones web y soluciones de seguridad de API en una única plataforma. La integración de las funciones de detección de comportamiento y puntuación de riesgos en una plataforma SSE (Secure Service Edge) o SASE (Secure Access Service Edge) te permite aprovechar sus ventajas a la vez que reduces la complejidad de la gestión y mejoras la eficiencia operativa.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre este tema
Descubre estrategias para anticiparte a las últimas amenazas y proteger las implementaciones de la IA en el ebook Modernización de la seguridad para la era de la IA.
Autor
James Todd — @jamesctodd
Director técnico, Cloudflare
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Por qué las herramientas de ciberseguridad tradicionales y reactivas se están quedando cortas
Cómo el análisis de comportamiento aumenta la detección basada en firmas
6 prácticas recomendadas para implementar el análisis de comportamiento