He escuchado de proveedores que las tecnologías cognitivas como ser el aprendizaje automático pueden ayudar en mi gestión de riesgo y esfuerzos de seguridad. ¿Es este el caso? ¿Si es así, como mido y evalúo su rendimiento? ¿Existen estándares, herramientas o fuentes de información que puedan ayudar?

  Un proceso de gestión de riesgo efectivo requiere una decisión de respuesta al riesgo que está basado en el conocimiento previo sobre la posibilidad de que vulnerabilidades serán explotadas dentro de los sistemas. Un proceso normal de gestión de riesgo identifica una amenaza y evalúa su relevancia a la organización. Basado en estos resultados de evaluación, la organización toma una decisión en cómo responder. Sin embargo, con la automatización de la gestión de la información, la velocidad del proceso de información está constantemente aumentando y la organización requiere respuestas más rápidas. El reto que el proceso de gestión de riesgo normal presenta a la organización hoy día, es la habilidad (o falta en esto) para cumplir con la necesidad de una detección a tiempo de la materialización del riesgo y responder a esos ítems de riesgo.

La detección de la materialización del riesgo actualmente se está haciendo utilizando un análisis de datos estructurado. Un buen ejemplo son las herramientas de incidentes de seguridad y gestión de eventos (SIEM) utilizadas para registrar análisis y determinar posible materialización del riesgo. Otro buen ejemplo es el de instituciones financieras utilizando herramientas de análisis de transacciones y análisis de datos no estructurados (texto) con capacidades analíticas para detectar posibles fraudes o ataques. Sin embargo, estas tecnologías sufren de alertas falsas positivas, o intervención humana es requerida para efectuar una decisión de respuesta. A la fecha, ha habido dos eras distintivas de ciber seguridad: controles perimetrales¹ e inteligencia de seguridad. Estas sirven como bloques de construcción al entrar en la tercera era—seguridad cognitiva.

Sistemas cognitivos son sistemas de auto aprendizaje que utilizan data mining, aprendizaje de máquina, procesamiento de lenguaje natural e interacción computacional humana para copiar la manera en que el cerebro humano funciona. Si es utilizada para detectar la materialización del riesgo, estos sistemas pueden aprender de las decisiones tomadas por lo humanos y actualizar su motor de conocimiento.

Hay unos pocos productos que están siendo utilizados por el sector financiero para detectar posibles fraudes; sin embargo, estos productos no son lo suficiente maduros para ser utilizados en la gestión de riesgo en todos los sectores. Otro reto es que la revisión de nuevas amenazas y riesgos que forman la base para la gestión de riesgo aún no está lo suficiente madura para que las tecnologías cognitivas las adopten. Existen algunas herramientas disponibles que pueden entender la base de datos de riesgo actualizada y proveer cuadros de mando a la gerencia para revisión, pero la evaluación de riesgo, que es a juicio de humanos basado en la experiencia, tomara más tiempo para que esté disponible en sistemas de auto aprendizaje.

Hoy, el uso de tecnologías cognitivas en gestión del riesgo y seguridad está limitado a:

• Analizar tendencias de seguridad y generando enormes volúmenes de datos estructurados y no estructurados en información y luego en conocimiento accionable para permitir mejoras continuas en seguridad y negocio²
• El uso automatizado; tecnologías de seguridad basados en datos, técnicas y procesos que apoyan sistemas cognitivos con el más alto nivel de contexto y precisión³

En el futuro, sistemas cognitivos podrán analizar la interacción, su naturaleza y susceptibilidad, para desarrollar perfiles de riesgos para las organizaciones, acciones corporativas, entrenamiento y reeducación. Sistemas cognitivos también podrían usar procesamiento de lenguaje natural para encontrar y redactar datos sensitivos en una organización.

  ¿Que tan importante es la inteligencia de amenazas para mis esfuerzos de gestión de riesgo? ¿Es algo que debiésemos implementar? ¿Si fuese así, como lo hago?

  Las organizaciones sufren ataques todos los días y son capaces de responder a la mayoría de estos con los conocimientos disponibles. Sin embargo, los adversarios siempre están adelantados y continúan desarrollando nuevos ataques utilizando nuevas técnicas. ¿El resultado? Organizaciones no identifican los ataques y llegan a saber de estos solo cuando el daño ya ocurrió. Ataques del día cero o amenazas persistentes avanzadas (APTs) son ejemplos conocidos. En otras palabras, las organizaciones están desprotegidos contra nuevos ataques.

La inteligencia de amenaza en palabras simples, es la información que una organización puede utilizar para mejorar sus capacidades de detección. Ayuda a detectar un ataque antes que se materialice. Ejemplos primitivos de inteligencia de amenazas pueden ser el análisis heurístico mediante herramientas antivirus, sistemas de prevención de intrusiones (IPS) o la actualización de firmas de virus proporcionada por el proveedor de antivirus. En otras palabras, la inteligencia de amenazas es una información que ayuda a las organizaciones a mejorar la capacidad de detectar, prevenir y/o investigar posibles ataques antes de que un ataque ocurra o en las primeras etapas de un ataque antes de que impacte al negocio.

Porque la detección temprana de un ataque ayuda a las organizaciones controlar el impacto del ataque y la inteligencia de amenazas apoya la detección temprana, las organizaciones serian sabias en considerar implementar inteligencia de amenazas. Sin embargo, también debiesen entender que implementar inteligencia de amenazas no es un proyecto de una sola vez. Es un esfuerzo continuo, ya que nuevas amenazas emergen constantemente. Para implementar la inteligencia de amenazas, estos pasos pueden ser considerados:

• Construir un perfil de amenazas que incluya posibles perpetradores/atacantes. Esto se puede hacer construyendo posibles escenarios de riesgo (referirse a COBIT 5 para riesgos⁴ para escenarios genéricos de riesgo).
• Colectar información, particularmente de incidentes pasados, dentro de las organizaciones e industrias; indicadores e incidentes de malware, protocolo de Internet (IP)/Reputación URL, informaciones de redes de comando y control, y más. Hay un sin número de fuentes de datos disponibles que puedan proveer de esta información.
• Crea un grupo interno que analice información recibida de fuentes internas y externas relevantes para la organización.
• Agregue y analice los datos recibidos, particularmente considerando el volumen e información duplicada, identifique los datos que puedan generar acciones como ser el actualizar controles existentes o implementar nuevos controles, e identificar posibles falsos positivos. La información publicada por posibles atacantes puede especialmente engañar sobre todo en la decisión de la respuesta.
• Basado en el análisis de la información, identificar las áreas que requieren cambios, particularmente las políticas, procesos, reglas para monitorear los eventos (indicadores de riesgo/umbrales de riesgo), reglas del cortafuego, etc.
• Validar las reglas e implementar procesos para la colección continua de información de inteligencia de amenazas y actualizar reglas y procesos.
• Automatizar los procesos. Por ejemplo, en el caso de violación de datos, bloqueo o ataque del día cero, implemente bloqueos temporales automáticos en base a políticas predefinida. O si un dispositivo empieza a comportarse anormalmente, haga que automáticamente sea removido de la red para investigación.

El punto principal a tomar en cuenta es que implementar inteligencia de amenazas es una tarea gigantesca, por lo cual hay que efectuarlo en pasos pequeños.

Notas Finales

¹ IBM, Cognitive Security White Paper, USA, 2016, http://cognitivesecuritywhitepaper.mybluemix.net/
² Ibid.
³ Ibid.
⁴ ISACA, COBIT 5 for Risk, USA, 2013, www.isaca.org/COBIT/Pages/Risk-product-page.aspx