Predicciones sobre las amenazas en cyberseguridad Fortinet 2018

Cyberseguridad

Las personas tienen una creciente expectativa de acceso instantáneo a la información y a los servicios altamente personalizados a través de una variedad de dispositivos interconectados. Esta demanda impulsa la transformación digital de los negocios y la sociedad. Mantener el ritmo requiere cosas como el aprendizaje automático y la inteligencia artificial para acelerar la capacidad de ver, predecir y responder a las tendencias del mercado.

También hay un creciente elemento criminal que busca explotar estas nuevas tecnologías. La proliferación de dispositivos en línea que acceden a información personal y financiera, y el incremento a la conexión e interconexión de todo, desde ejércitos de dispositivos de IoT e infraestructura crítica en automóviles, hogares y oficinas hasta el surgimiento de ciudades inteligentes, han creado nuevas oportunidades disruptivas para los ciberdelincuentes.

El mercado ciberdelincuente es experto en adoptar los últimos avances en áreas como la inteligencia artificial para crear ataques más efectivos. Anticipamos que esta tendencia se acelerará hasta 2018.

1.-Predicción: El aumento de HIVENETS y SWARMBOTS  

El análisis predictivo que utiliza miles de millones de nodos de actualización constante de datos representa un paradigma completamente nuevo de cómo los recursos informáticos transformarán nuestro mundo. Es un salto corto simplemente tener estos nodos individuales para compartir información entre ellos. Es la base de la tecnología de enjambre.

Por eso es fácil predecir que los ciberdelincuentes eventualmente reemplazarán botnets construidas con dispositivos zombies sin sentido con clusters inteligentes de dispositivos comprometidos para crear ataques más efectivos. Esto sería un hivenet en lugar de una botnet. Sería capaz de usar millones de dispositivos interconectados, o swarmbots, para identificar y abordar simultáneamente diferentes vectores de ataque, permitiendo ataques a una escala sin precedentes.

Tales colmenas son especialmente peligrosas porque, a diferencia de los zombis individuales, los swarmbots individuales son inteligentes. Pueden hablar entre ellos, tomar medidas basadas en la inteligencia local compartida, usar la inteligencia de enjambre para actuar sobre los comandos sin que el pastor de botnets les dé instrucciones de hacerlo, y reclutar y entrenar a nuevos miembros de la colmena. Como resultado, como un hivenet identifica y compromete más dispositivos, podrá crecer de manera exponencial y, por lo tanto, ampliará su capacidad para atacar simultáneamente a múltiples víctimas.

Mientras que los ataques basados ​​en IoT como Mirai, o el Reaper más reciente no están usando tecnología de enjambre aún, ya tienen la huella. Una actualización del código les permitiría adoptar comportamientos emergentes de enjambre e inteligencia para aumentar su potencial de amenaza.

FortiGuard Labs registró 2,9 mil millones de intentos de comunicaciones de botnet en un trimestre a principios de este año, lo que añade un contexto a la gravedad de lo que podrían causar hivenets y swarmbots. En términos de IoT, casi una de cada cinco organizaciones informó sobre el malware dirigido a dispositivos móviles durante este mismo período. Los dispositivos de IoT siguen presentando un desafío porque no tienen el nivel de control, visibilidad y protección que reciben los sistemas tradicionales.

2.-Predicción: El rescate de los servicios comerciales es un gran negocio

 Aunque la magnitud de la amenaza del ransomware ya ha crecido 35 veces en el último año con los ransomworms y otros tipos de ataques, hay más por venir.

El próximo gran objetivo para el ransomware probablemente sea el rescate de servicios comerciales como los proveedores de servicios en la nube. Las oportunidades financieras son claras. Se espera que la computación en la nube crezca a $ 162B en 2020, con una tasa de crecimiento anual compuesto (CAGR) del 19%. Además, derribar con éxito un proveedor de la nube es una oportunidad de uno a muchos. Las redes complejas e hiperconectadas que los proveedores de la nube han desarrollado pueden producir un único punto de falla para docenas o incluso cientos de empresas. (Creo que Mirai saca un proveedor de alojamiento DNS).

Los servicios en la nube están centralizados y presentan una enorme superficie de ataque potencial. En lugar de piratear las empresas individualmente, los delincuentes que pueden infiltrarse en un único entorno de nube podrían tener acceso a datos de docenas o cientos de organizaciones, o ser capaces de eliminar toda una gama de servicios con un solo ataque.

Y no solo las empresas se verán afectadas, las entidades gubernamentales, la infraestructura crítica, la aplicación de la ley, la atención médica y una amplia gama de industrias de todos los tamaños usan la nube, y muchas de ellas usan el mismo proveedor de la nube. Si un ciberterrorista puede derribar a un único proveedor de servicios en la nube, las implicaciones podrían ser devastadoras.

Como resultado, predecimos que los ciberdelincuentes comenzarán a combinar las tecnologías de inteligencia artificial con ataques multivectoriales para buscar, detectar y explotar las debilidades en el entorno de un proveedor de servicios en la nube. La paralización exitosa de un servicio que genera millones de dólares al día para el proveedor, al tiempo que interrumpe el servicio para potencialmente millones de clientes, no representaría simplemente un día de pago masivo para una organización criminal. También socavaría la frágil confianza que muchas organizaciones ya tienen cuando se trata de computación basada en la nube, y podría tener un efecto devastador en la transformación digital y en nuestra economía digital.

3.-Predicción: MALWARE MÓRFICO de próxima generación

El mercado ciberdelincuente es muy bueno adoptando los últimos avances para detectar y explotar más eficazmente las vulnerabilidades, evadir la detección, adaptarse a entornos de red complejos y maximizar la rentabilidad.

Los adversarios comenzarán a aprovechar la automatización y el aprendizaje automático en sus tácticas, técnicas y procedimientos de ataque (TTP). Esto no es una sorpresa, ya que los investigadores de seguridad ya usan herramientas de espacio aislado, reforzadas con el aprendizaje automático, para identificar rápidamente amenazas nunca vistas anteriormente y crear protecciones dinámicamente. No hay ninguna razón por la cual este mismo enfoque no se use en la otra dirección: para mapear redes, encontrar objetivos de ataque, determinar dónde esos objetivos de ataque son débiles, crear un objetivo para realizar pruebas de PEN virtuales y luego construir y lanzar un sistema personalizado ataque. Todo hecho en el nivel AI, y todo completamente automatizado.

El malware polimórfico actual, por ejemplo, ha existido durante décadas. Ya utiliza algoritmos precodificados para adoptar una nueva forma de evadir los controles de seguridad, y puede producir más de un millón de variaciones de virus por día. Pero hasta ahora, este proceso solo se basa en un algoritmo, y hay muy poca sofisticación o control sobre la salida. El malware polimórfico de próxima generación construido en torno a AI, sin embargo, podrá crear espontáneamente ataques completamente nuevos y personalizados que no serán simplemente variaciones basadas en un algoritmo estático. En su lugar, emplearán la automatización y el aprendizaje automático para diseñar ataques personalizados para comprometer rápidamente un sistema específico y evadir efectivamente la detección. La gran diferencia es la combinación de disciplina e iniciativa.

FortiGuard Labs registró 62 millones de detecciones de malware en un trimestre en 2017. De estas, vimos casi 17,000 variantes de malware de más de 2,500 familias diferentes de malware. La mayor automatización del malware solo hará que esta situación sea más urgente el próximo año.

4.-Predicción: Infraestructura crítica a la vanguardia

De todas las industrias que podrían verse potencialmente afectadas por los avances en las técnicas de cibercrimen, los proveedores de servicios de salud e infraestructura crítica continúan estando en la parte superior de la lista en términos de riesgo. La mayoría de las redes críticas de OT y de infraestructura son notoriamente frágiles y originalmente fueron diseñadas para ser aisladas. Pero la necesidad de responder a velocidades digitales a las demandas de los empleados y consumidores ha comenzado a cambiar eso, dejando todo al descubierto (piense en servicios SCADA habilitados para la nube). Aplicar la seguridad como algo secundario una vez que una red diseñada para operar aisladamente está conectada al mundo digital rara vez es muy efectivo.

Debido al alto valor de estas redes y al potencial de resultados devastadores en caso de que se vean comprometidas o afectadas, la infraestructura crítica y los proveedores de servicios de salud se encuentran ahora en una carrera armamentista con las organizaciones del delito cibernético. Esto los coloca en una posición difícil porque, si bien deben confiar en los nuevos sistemas conectados que brindan mayor inteligencia y seguridad para poder sobrevivir, los riesgos son reales.

La seguridad que estos sistemas tienen actualmente no será suficiente, por eso es imperativo que las organizaciones migren a sistemas de seguridad avanzados basados ​​en inteligencia de calidad y un tejido de seguridad integrado que pueda ver a través de la red distribuida, contrarrestar los sofisticados sistemas de ataque que se están desarrollando y desplegados por los atacantes, e integrar fácilmente los avances es la colaboración y la inteligencia artificial.

5.-Predicción: La DARK WEB y la economía del cibercrimen ofrecen nuevos servicios usando la automatización

A medida que el mundo del cibercrimen evoluciona, también lo hace la dark web. Esperamos ver nuevas ofertas de servicios de la dark web a medida que las organizaciones de Crime-as-a-Service utilizan la nueva tecnología de automatización para sus ofertas. Ya estamos viendo servicios avanzados que se ofrecen en mercados dark web que aprovechan el aprendizaje automático. Por ejemplo, un servicio conocido como FUD (completamente no detectado) ya es parte de varias ofertas. Este servicio permite a los desarrolladores criminales cargar código de ataque y malware a un servicio de análisis por una tarifa. Posteriormente, reciben un informe sobre si las herramientas de seguridad de diferentes proveedores pueden detectarlo.

Para acortar este ciclo, veremos que se usa más aprendizaje automático para modificar el código sobre la marcha en función de cómo y qué se ha detectado en el laboratorio a fin de que estas herramientas de penetración y cibercrimen sean más indetectables. Esto les permite refinar rápidamente su tecnología para sortear mejor los dispositivos de seguridad utilizados por la empresa objetivo o la agencia gubernamental.

Sin embargo, para realizar un escaneo y análisis tan sofisticado, los proveedores de servicios criminales han tenido que crear clusters de computación aprovechando los recursos informáticos secuestrados. Las máquinas infectadas que aprovechan Coinhive son un ejemplo reciente: complementos de navegador que infectan a las máquinas de los usuarios finales para secuestrar sus ciclos de CPU y extraer la divisa virtual. Este proceso está acelerando rápidamente el tiempo desde el concepto hasta la entrega de un nuevo malware que es más malicioso y más difícil de detectar y detener. Una vez que la inteligencia artificial verdadera se integre en este proceso, la ofensa frente a la defensa (tiempo de violación frente a tiempo para detectar / proteger) se reducirá a una cuestión de milisegundos en lugar de las horas o los días que lo hace hoy.

¿Qué puedes hacer?

Las organizaciones deben responder insistiendo en que los fabricantes implementen más y mejores controles de seguridad en los dispositivos. Las soluciones de seguridad deben ser capaces de evolucionar hacia sistemas expertos basados ​​en tecnologías de seguridad integradas, inteligencia de amenazas procesable y telas de seguridad dinámicamente configurables e interactivas. En la medida de lo posible, la seguridad también debe poder funcionar a velocidades digitales, lo que significa automatizar las respuestas de seguridad y aplicar la IA y el autoaprendizaje para que las redes puedan tomar decisiones efectivas y autónomas. La seguridad básica de seguridad también debe formar parte de nuestros protocolos de seguridad básicos, y los protocolos de parche y reemplazo se implementan automáticamente en todos los dispositivos. Y debemos reemplazar arquitecturas de red accidentales desarrolladas orgánicamente con un diseño intencional que pueda soportar ataques serios y sostenidos.

TOP