Nuevos manuales para una era de ventanas cero – CYBERDEFENSA.MX
admin Noticias, Trending
Nuevos manuales para una era de ventanas cero – CYBERDEFENSA.MX

Cuando la aplicación de parches no es lo suficientemente rápida, NDR ayuda a contener la próxima era de amenazas.

Si ha estado siguiendo los avances en IA, sabrá que la ventana de explotación, el breve buffer en el que las organizaciones confiaban para parchear y proteger después de la divulgación de una vulnerabilidad, se está cerrando rápidamente.

El nuevo modelo de Anthropic, Claude Mitosy su Proyecto Ala de Vidriodemostró que encontrar vulnerabilidades explotables y grietas sutiles en las defensas de los sistemas operativos y navegadores (trabajo que antes requería semanas a los expertos) ahora se puede realizar en minutos con IA. Como resultado, el La ventana de oportunidad del parche ahora es casi nula.. La situación es tan crítica que el Secretario del Tesoro, Scott Bessent, y el Presidente de la Reserva Federal, Jerome Powell, Recientemente convocó una reunión urgente. con los directores ejecutivos de las principales instituciones financieras estadounidenses para discutir los riesgos implicados. La conclusión fue sencilla: las crecientes capacidades de IA han alterado los perfiles de riesgo, con profundas implicaciones para la estabilidad e integridad institucional en todas las industrias.

Mythos también destaca la brecha entre el descubrimiento y la remediación. Superó fácilmente la experiencia humana y resolvió una compleja simulación de red corporativa que habría requerido más de 10 horas de experiencia en programación experta. Sus descubrimientos también encontraron problemas en software con décadas de antigüedad que habían pasado desapercibidos en miles de revisiones de seguridad.

De los Mitos a la era de la suposición-incumplimiento

Mythos no es el único modelo de IA capaz de encontrar vulnerabilidades tan rápidamente. Otros partidos los han encontrado utilizando LLM más básicos.

Si su empresa utiliza algún tipo de software, debe asumir que el software probablemente contenga miles de estas vulnerabilidades desconocidas, esperando ser explotadas por el descubrimiento asistido por IA. Esto no es un fallo de su equipo de seguridad; más bien, es la consecuencia estructural de 30 años de complejidad de software acumulada que se topan con un salto en la capacidad ofensiva de la IA.

Ahora que las ventanas de explotación casi nulas son la norma, “parchear más rápido” o “parchear mejor” ya no son suficientes. Los equipos de seguridad necesitarán nuevos manuales de estrategiabasado en un modelo de supuesto incumplimiento: Se producirán infracciones y será fundamental detectarlas a medida que se produzcan y contenerlas a gran escala. Estos resultados se deciden en tiempo real, en la red.

Cómo incorporar un modelo de supuesto incumplimiento a las operaciones cotidianas

El modelo de supuesto incumplimiento tiene tres requisitos operativos, cada uno de los cuales utiliza métodos automatizados diseñados para tiempo de colapso hasta la contención:

  1. Detecte el comportamiento posterior a una infracción antes de que la amenaza se extienda en toda su empresa
  2. Reconstruya la cadena de ataque completa lo antes posible.
  3. Contener las amenazas rápidamente para limitar su radio de explosión.

En la práctica, este método de contención requiere:

Visualizando la contención como marcador

Priorice la reducción del tiempo medio de contención (MTTC) para limitar los daños mientras mantiene la vigilancia sobre las métricas de detección y respuesta (MTTD y MTTR). A medida que la IA acelera la explotación y remodela los métodos de ataque, aumenta la importancia de la velocidad para identificar, contener y resolver amenazas. La compresión de MTTC comienza con una visibilidad de red integral y en tiempo real. Con él, los SOC pueden detectar el comportamiento posterior a una infracción, determinar el radio de la explosión e interrumpir los eventos antes de que se propaguen más.

Monitoreo de técnicas favorecidas por la IA

Los ataques de IA autónoma utilizan cada vez más técnicas sofisticadas para evadir la detección, incluidos métodos de vida de la tierra (LOTL) que ocultan actividad maliciosa dentro de herramientas y procesos legítimos. Detección y respuesta de red (NDR) las plataformas desempeñan un papel crucial en la identificación de estos sutiles indicadores de compromiso. Lo hacen monitoreando continuamente el tráfico de la red en busca de comportamientos inusuales. Los signos de dicha actividad pueden aparecer como recursos compartidos de administrador de SMB inusuales, NTLM donde se espera Kerberos o nuevos pivotes RDP/WMI/DCOM, todo lo cual puede significar un movimiento lateral en su red.

Las plataformas NDR avanzadas también pueden detectar atacantes que aprovechan técnicas LOTL para mantener comunicaciones de comando y control y exfiltrar datos mientras intentan evitar generar alarmas. Los indicadores de comando y control pueden manifestarse como patrones de conexión tipo baliza, raros pares JA3/JA4 y SNI, DNS de alta entropía o DoH o DoT no autorizados. Anomalías como cargas fuera de horario, asimetría de carga/descarga, destinos por primera vez (por ejemplo, S3, Blob, GCS o nuevas CDN), compresión antes de la salida o la presencia de túneles y VPN hacia nuevos destinos pueden indicar exfiltración.

Automatizar y mantener su inventario de software

Muchas organizaciones todavía carecen de un inventario preciso y en tiempo real de su software, lo que les dificulta comprender cómo se conectan y comunican los activos. Esta brecha crea oportunidades para los adversarios. La automatización del inventario y el mapeo de activos ayuda a las organizaciones a comprender su exposición, reaccionar más rápidamente a las amenazas emergentes y reducir las ventanas disponibles para explotar las vulnerabilidades.

Correlacionar y reconstruir cadenas de ataque.

Una vez que se detecta una infracción, es vital comprender rápidamente su alcance, especialmente porque las amenazas impulsadas por la IA se mueven demasiado rápido para el análisis manual. El proceso de reconstrucción de eventos, que alguna vez fue minucioso, debe automatizarse y entregarse en tiempo real.

Investigador de luz centralparte de la empresa Plataforma NDR abiertacorrelaciona automáticamente las alertas y la actividad de la red para ayudar a reconstruir cronogramas detallados de los ataques. Esto facilita que sus propios sistemas automaticen el flujo de trabajo de respuesta y mejoren su resiliencia contra estos ataques.

Automatización de la contención

Los avances en la detección y reconstrucción de ataques deberían impulsar una contención decisiva y confiable. Limitar la propagación de amenazas, el tercer pilar del modelo de supuesto incumplimiento, es lo que convierte los datos y el conocimiento en una protección tangible. Incorporar la contención automatizada en los flujos de trabajo de defensa de la red puede reducir el riesgo de que las amenazas de rápida evolución se conviertan en incidentes generalizados.

Hacia un futuro de seguridad preparado para los Mitos

Claude Mythos y otros modelos de IA están cambiando rápidamente prácticas de larga data en materia de ciberseguridad. Prepararse para este panorama dinámico significa, en parte, construir capas defensivas adaptativas que puedan ayudarlo a acelerar sus defensas contra la IA adversaria.

  • Monitor: Mantenga una visibilidad continua de la red y automatice las detecciones para identificar amenazas tempranamente.
  • Suponer-incumplimiento: Opere con la expectativa de que se produzcan infracciones y concéntrese en una respuesta y contención rápidas.
  • Proteger: Proteja sus ecosistemas de confianza fortaleciendo los controles donde los ataques impulsados ​​por IA pueden causar el mayor daño. Construya un programa de seguridad “listo para Mythos”, como sugerido por la Cloud Security Alliance.
  • Afilar: Perfeccione continuamente sus manuales y estrategias de respuesta para contrarrestar las amenazas en evolución.

Detección y respuesta de la red Corelight

Descubra nuevos métodos de ataque con Plataforma NDR abierta de Corelight. Con visibilidad integral de la red y análisis de comportamiento profundo, Corelight está diseñado para ayudar a su SOC a detectar amenazas avanzadas impulsadas por IA más rápido, para que pueda actuar antes de que los incidentes se intensifiquen. Obtenga más información en corelight.com/elitedefense.

¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en noticias de google, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *