¿Ya oyó hablar en Arquitectura de Seguridad Adaptativa?

0
98

*Por Leonardo Carissimi

La naturaleza está llena de ejemplos de organismos que detectan amenazas en el ambiente y responden de forma dinámica a ellas. Ejemplos obvios son nuestro sistema inmunológico y el camaleón. Hay diversos ejemplos menos evidentes, como el recientemente estudiado en un ecosistema en África del Sur formado por una población de acacias y otra de antílopes. Los animales se alimentaban de las hojas de los árboles de forma moderada, en equilibrio, hasta que en un determinado día, por razones desconocidas, la población de antílopes creció. Como consecuencia, la demanda de hojas de los árboles también aumentó. Estas, sintiéndose amenazadas, reaccionaron produciendo toxinas en sus hojas, las cuales fueron letales para los animales.

Nos enfocaremos en este último caso, pues va más allá de la tradicional visión de detección de una amenaza y respuesta. Presenta un tercer elemento útil para análisis: las acacias demostraron una capacidad predictiva. Al analizar el historial de consumo de sus hojas y su capacidad de regeneración, observaron una tendencia de aumento de consumo superior a su capacidad de regeneración. La detección de la amenaza no fue “binaria” sino sofisticada a punto de concluir que a partir de un punto la supervivencia de las plantas estaba en riesgo. Ante este análisis, una nueva “arquitectura” de sus hojas (con toxina) fue adoptada.

En el escenario empresarial, ocurre que las arquitecturas de Tecnología de la Información (TI) de grandes organizaciones están cada día más complejas. No es exagerado decir que estas empiezan a rivalizar con la complejidad de algunos organismos, como las acacias. Proteger los datos críticos al negocio en este tipo de ambiente se vuelve un trabajo cada vez más desafiante: las arquitecturas de seguridad se volvieron complejas, algunas veces se encuentran en silos, lo que aumenta los costos, la chance de errores y fallas, además de disminuir la eficacia de la arquitectura de seguridad como un todo. La fluidez del actual paisaje de amenazas, la desaparición de fronteras de red claras, sumados al aumento del número de conexiones dentro y fuera de la empresa aumentan la probabilidad y la velocidad de un ataque.

Muchos analistas y administradores de seguridad ya admiten que la cuestión no es SI un incidente de seguridad va a ocurrir, sino CUÁNDO, y cómo será su capacidad de detectar y responder. Por eso algunos abordajes ya parten de la premisa que los sistemas están comprometidos y exigen monitoreo continuo, con mecanismos de respuesta automática e inmediata, buscando contener amenazas activas y neutralizar potenciales vectores de ataque.

En esta línea, Gartner prevé que los presupuestos en seguridad en los próximos años deberán enfocarse cada vez más en los temas de monitoreo y respuesta continuas e inmediatas. Se estima que en 2020, el 60% de los presupuestos de seguridad deberán ser asignados a esta cuestión.

Uno de los abordajes para una implementación eficaz de este modelo es la Arquitectura de Seguridad Adaptativa (ASA), definida también por Gartner con los siguientes pilares:

1)    Capacidad preventiva: este es el conjunto de políticas, herramientas y procesos que buscan prevenir la ocurrencia de ataques exitosos. Incluso que venga a crecer menos en los próximos años, en lo que dice respecto a los temas de monitoreo y respuesta continua, no hay duda que es importante prevenir. Pero observe la necesidad de modelos de prevención Zero Trust, que pueden ser datos por micro-segmentación definida por software, aumentando la seguridad sin aumentar los costos.

2)    Capacidades de detección: son los controles concebidos para identificar ataques que evadieron de forma exitosa las medidas preventivas. Hoy en día, en esta área son necesarios elementos que van un paso adelante, además de la simple correlación de eventos (dadas por herramientas SIEM – Security Information and Event Management), incorporando algoritmos de Data Analytics, Machine Learning, detección de estándares y comportamientos que estén fuera de la normalidad de las operaciones usuales etc.

3)    Capacidades de respuesta: proporcionan una forma de responder a la amenaza – sea encogiendo la superficie de ataque, disminuyendo su velocidad, actuando en su respuesta, entre otros aspectos. Un tema relevante aquí es la capacidad de respuesta automática a una determinada amenaza. Una buena opción es integrar el sistema de detección con una tecnología dinámica como la micro-segmentación, lo que permite colocar rápidamente en una red especial de cuarentena un sistema comprometido, evitando el movimiento lateral del atacante o el esparcimiento de malwares en la red.

4)    Capacidades predictivas: son aquellas que permiten a la organización prever ataques, analizar tendencias y pasar de una postura de seguridad reactiva a una proactiva. Como el panorama de amenazas es dinámico y evoluciona de forma rápida, es fundamental una combinación eficaz de las técnicas de detección avanzadas apuntadas arriba con una sofisticada red de Inteligencia de Amenazas – que agregue inteligencia específica del sector de la economía, suministradas por fabricantes, identificadas por proveedores globales de servicios de monitoreo de seguridad, amenazas cazadas (“threat hunting”) en redes sociales, dark web, etc.

* Leonardo Carissimi es Director de Soluciones de Seguridad de Unisys en América Latina.