Cuando la aplicación de parches no es lo suficientemente rápida, NDR ayuda a contener la próxima generación de amenazas.
Si ha estado siguiendo los avances en IA, sabrá que la ventana de explotación, el breve buffer en el que confiaron las organizaciones para parchar y proteger las vulnerabilidades después de que se hicieron públicas, se está cerrando rápidamente.
El nuevo modelo de Anthropic, Claude Mythos y su proyecto Glasswing, demostró que encontrar vulnerabilidades explotables y grietas sutiles en las defensas de los sistemas operativos y navegadores, una tarea que alguna vez llevó semanas a los expertos, se puede realizar en minutos usando IA. Como resultado, la posibilidad de una ventana de parche se ha vuelto casi nula. La situación es tan crítica que el Secretario del Tesoro, Scott Bessent, y el presidente de la Reserva Federal, Jerome Powell, convocaron recientemente una reunión de emergencia con los directores ejecutivos de las principales instituciones financieras estadounidenses para discutir los riesgos potenciales. El punto era simple y claro. La proliferación de capacidades de IA ha transformado el perfil de riesgo y ha tenido un impacto significativo en la estabilidad e integridad de las organizaciones en todas las industrias.
El mito también resalta la brecha entre descubrimiento y restauración. Esto superó sin esfuerzo la experiencia humana, resolviendo una compleja simulación de red empresarial que habría requerido más de 10 horas de habilidades de programación profesional. Sus hallazgos también descubrieron problemas con software de décadas de antigüedad que habían pasado desapercibidos en miles de revisiones de seguridad.
Del mito a la era de la violación de supuestos
Mythos no es el único modelo de IA que puede encontrar vulnerabilidades tan rápido. Otros partidos se han encontrado utilizando LLM más básicos.
Si su empresa utiliza algún tipo de software, debe asumir que probablemente contenga miles de estas vulnerabilidades desconocidas esperando ser descubiertas y explotadas mediante descubrimiento asistido por IA. Esto no es un fallo del equipo de seguridad. Más bien, es el resultado estructural de 30 años de complejidad de software acumulada y avances dramáticos en las capacidades ofensivas de la IA.
«Parchear más rápido» o «parchear mejor» ya no es suficiente, ya que las ventanas de explotación casi nulas se han convertido en la norma. Los equipos de seguridad necesitarán nuevos manuales basados en modelos de violaciones hipotéticas. Esto significa que se producirán infracciones y es fundamental detectarlas cuando se produzcan y detenerlas a gran escala. Estos resultados se determinan en tiempo real a través de la red.
Cómo implementar un modelo de supuesto de incumplimiento en las operaciones diarias
El modelo de supuesto de infracción tiene tres requisitos operativos, cada uno de los cuales utiliza métodos automatizados diseñados para reducir el tiempo de contención.
Detectar el comportamiento posterior a la infracción antes de que la amenaza se propague por toda la empresa Reconstruir la cadena de ataque completa lo antes posible Contener la amenaza rápidamente y limitar el radio de la explosión
En la práctica, este método de contención requiere:
Visualice la contención como un marcador
Priorizar la reducción del tiempo medio de contención (MTTC) para limitar los daños manteniendo al mismo tiempo las métricas de detección y respuesta de vigilancia (MTTD y MTTR). A medida que la IA acelera la explotación y remodela las técnicas de ataque, la velocidad con la que las amenazas pueden identificarse, contenerse y resolverse con precisión se vuelve cada vez más importante. La compresión de MTTC comienza con una visibilidad de red integral y en tiempo real. Esto permite al SOC detectar el comportamiento posterior al compromiso, determinar el radio de detonación e interrumpir el evento antes de que se propague más.
Monitoreo de los métodos preferidos por la IA
Los ataques de IA autónoma utilizan cada vez más técnicas sofisticadas para evadir la detección, como técnicas de vida de la tierra (LOTL) que ocultan actividad maliciosa dentro de herramientas y procesos legítimos. Las plataformas de detección y respuesta de red (NDR) desempeñan un papel fundamental en la identificación de estos sutiles indicadores de compromiso. Esto se hace monitoreando continuamente el tráfico de la red para detectar comportamientos anómalos. Los signos de dicha actividad pueden aparecer como recursos compartidos administrativos inusuales de SMB, NTLM con Kerberos esperado o nuevos pivotes RDP/WMI/DCOM, todos los cuales pueden indicar un movimiento lateral a través de la red.
Las plataformas NDR avanzadas también pueden aprovechar las técnicas LOTL para mantener las comunicaciones de comando y control y detectar atacantes que roban datos mientras evitan generar alarmas. Los indicadores de comando y control pueden aparecer como patrones de conexión similares a balizas, pares raros de JA3/JA4 y SNI, DNS de alta entropía o DoH o DoT no autorizados. Anomalías como cargas fuera de horario, asimetría de carga/descarga, destinos por primera vez (como S3, Blob, GCS o nueva CDN), compresión antes de la salida o la presencia de un túnel o VPN hacia un nuevo destino pueden indicar una fuga.
Automatización y mantenimiento del inventario de software.
Muchas organizaciones todavía carecen de un inventario preciso y en tiempo real de su software y luchan por comprender cómo se conectan y comunican sus activos. Esta brecha le da al enemigo una oportunidad. Al automatizar el inventario y el mapeo de activos, las organizaciones pueden comprender su exposición, responder más rápidamente a nuevas amenazas y reducir la ventana de oportunidad para que se exploten las vulnerabilidades.
Correlacionar y reconstruir cadenas de ataque.
Una vez que se detecta una infracción, es importante comprender rápidamente su alcance, especialmente porque las amenazas impulsadas por la IA son demasiado rápidas para el análisis manual. El proceso de reconstrucción de eventos, que alguna vez fue minucioso, debe automatizarse y entregarse en tiempo real.
Corelight Investigator, parte de la plataforma Open NDR de la compañía, correlaciona automáticamente las alertas con la actividad de la red para ayudar a reconstruir una línea de tiempo detallada de un ataque. Esto facilita la automatización de los flujos de trabajo de respuesta con sus propios sistemas y mejora la resiliencia contra estos ataques.
Automatización de contención
Los avances en la detección y reconstrucción de ataques deberían facilitar una contención definitiva y fiable. Limitar la propagación de amenazas es el tercer paso en el modelo de supuesto de infracción y convierte los datos y los conocimientos en una protección tangible. Al incorporar la contención automatizada en los flujos de trabajo de defensa de la red, puede reducir el riesgo de que las amenazas que cambian rápidamente se conviertan en incidentes generalizados.
Hacia el futuro de la seguridad basada en Mythos
Claude Mythos y otros modelos de IA están cambiando rápidamente prácticas de larga data en materia de ciberseguridad. Prepararse para esta situación dinámica, en parte, significa construir capas de defensa adaptativas que ayuden a acelerar las defensas contra la IA adversaria.
Monitoreo: mantenga una visibilidad continua de su red y automatice la detección para identificar amenazas tempranamente. Asuma una infracción: opere como si fuera a ocurrir una infracción y concéntrese en una respuesta rápida y contención. Proteger: Proteja su ecosistema de confianza aumentando el control de dónde los ataques impulsados por IA pueden causar el mayor daño. Cree un programa de seguridad «habilitado para Mythos» de Cloud Security Alliance. Afinar: perfeccionar continuamente nuestros manuales y estrategias de respuesta para combatir las amenazas en evolución.
Descubrimiento y respuesta de la red Corelight
Descubra nuevas técnicas de ataque con la plataforma Open NDR de Corelight. Con una visibilidad integral de la red y un profundo análisis del comportamiento, Corelight está diseñado para ayudar a los SOC a detectar amenazas avanzadas impulsadas por IA con mayor rapidez y responder a los incidentes antes de que escale. Para obtener más información, visite corelight.com/elitedefense.
Source link
