Defensa Evolucionada: De Inteligencia de Amenazas a Investigación y Orquestación con DXL

steve1

En mi última publicación hablé sobre los atributos de nuestros adversarios, los motivos por detrás de sus actividades y las metodologías de ataque recientes. También hablé de la curva de eficacia de la defensa contra amenazas, que ilustra cómo disminuye la eficacia de las capacidades de ciberdefensa a lo largo del tiempo conforme los atacantes desarrollan contramedidas para evadirla.

En mi conferencia estelar de FOCUS 16 , también explicó cómo podemos construir defensas más eficaces para contrarrestar las habilidades de nuestros adversarios para innovar y orquestar.

A la Cabeza de la Curva

Realmente todo se reduce a aterrizar nuevas tecnologías en la vanguardia de la curva de eficacia de defensa contra amenazas.

Es decir, es importante que podamos añadir nuevas tecnologías a nuestro entorno, al punto que podamos vivir con un alto nivel de eficacia por el mayor tiempo posible antes de que los adversarios desarrollen contramedidas, haciéndolas menos efectivas. steve2

Para ello, McAfee está ofreciendo un canal de tecnologías que pueden ser integradas muy rápidamente e implementadas en entornos empresariales.

Recientemente en nuestro evento FOCUS, Brian Dye y Candace Worley demostraron Real Protect and Dynamic Application Control. Estas capacidades se integran en plataformas como McAfee Endpoint Security, donde no se trata de implementar todo un nuevo producto, sino simplemente de reconfigurar y seleccionar una nueva funcionalidad que pueda fluir hacia la plataforma con un nivel de esfuerzo mucho menor que en la implementación de soluciones totalmente nuevas.

A lo que nos estamos comprometiendo, es a crear un robusto canal de capacidades que está constantemente buscando cómo defenderse contra las amenazas más recientes, incluyendo el trabajo sobre cosas que contrarresten algunos de los problemas más difíciles que tenemos hoy en la industria.

Esas capacidades podrían abordar los últimos tipos de ransomware, o el desafío de empaque polimórfico en tiempo real de archivos ejecutables, donde es muy difícil utilizar firmas tradicionales o abordajes basados en hash, porque siempre que algo está empacado, será 100% único para la víctima objetivo.

Trabajo Humano-Máquina

He comentado que cuando vamos más allá de las tecnologías individuales, tenemos que pensar cómo podemos proteger nuestro entorno general. En McAfee, creemos que la estrategia debe enfocarse alrededor del “trabajo humano-máquina”.

Si nos fijamos en los elementos “humanos” y “de máquina” en la ciber-defensa, cada uno de ellos tiene propiedades únicas que, conjuntamente, pueden ofrecer la mejor solución posible.

El aprendizaje de máquina es realmente la única manera en que podemos lidiar con la escala masiva de los datos necesarios para analizar y comprender los ciber-eventos dentro de los entornos. Pero también tenemos que reconocer que siempre habrá un adversario humano en el otro extremo de un ataque, siempre trabajando para confundir y eludir nuestras tecnologías. Por lo tanto, es absolutamente crítico que pongamos a nuestro personal de respuesta a incidentes y de operaciones de seguridad dentro de la ecuación, donde pueda aportar estrategias únicas e intelecto para pensar como los atacantes piensan.

Sin embargo, para ello necesitamos construir una nueva estructura para hablar sobre la ciber-defensa.

Más allá de la Inteligencia de Amenazas

Durante años hemos estado hablando acerca de la inteligencia de amenazas, que empezó como objeto de reputación y con el tiempo ha llegado a incluir elementos adicionales como tácticas, técnicas y procedimientos, o información específica acerca de campañas.

El problema con la inteligencia de amenazas es que puede decir cuáles son las amenazas, pero en realidad no dice cómo defenderse contra ellas.

Tenemos que aumentar esta nomenclatura con otros elementos claves, a saber, métodos de investigación para determinar lo que está sucediendo en nuestros entornos. Necesitamos visibilidad hacia eventos, análisis para procesar y determinar qué significan esos eventos, y recalibración de evaluación que vaya de reconocer lo que está sucediendo hasta decidir qué debe hacerse al respecto.

Por último, una vez que identificamos las amenazas que operan en nuestros entornos, debemos ser capaces de orquestar las respuestas adecuadas de manera eficaz y eficiente, lo que nos permitirá recuperar y actualizar nuestras protecciones.

Para crear tecnologías que enlacen la inteligencia de amenazas, los métodos de investigación y las capacidades de respuesta orquestada, necesitamos un alto grado de escalabilidad desde el punto de vista de infraestructura, y los apuntalamientos adecuados en el tejido sobre el cual se basan estas capacidades.

McAfee construyó McAfee Data Exchange Layer (DXL) con estos requisitos en mente y, esta por ello, anunciamos que estamos poniendo a disposición DXL como un protocolo abierto para la industria:

https://github.com/opendxl

Desde el punto de vista de la conectividad, DXL nos permite comunicar eventos con clientes, incluso cuando están en situaciones complejas de red, y transmitir información hacia o desde ellos con facilidad. El protocolo también favorece la eficiencia, asegurando de que las empresas puedan mover datos a través de sus redes una vez, y tener tipos de transferencia de datos de “uno a muchos” o “muchos a uno”. Además, DXL habilita un modelo de seguridad que permite la integridad y la confirmación, de modo que estos datos lleguen exclusivamente a donde deben ir.

steve4

Mi conferencia estelar destacó un ejemplo de DXL en acción.

Nos mostró cómo el comando y el control del tráfico podrían ser reportados a las soluciones McAfee por una solución de Puesto de Control, y permitir que las defensas de McAfee determinen rápidamente el análisis adecuado y, posteriormente, la respuesta adecuada.

Nuestro sistema de demostración capturó eventos, y transformó y ejecutó búsquedas para determinar de dónde provenían los eventos. Con base en los resultados de “máquina” de la búsqueda, nosotros, los seres humanos, tomamos posteriormente medidas para abordarlos. Podríamos etiquetar a un sistema afectado y cambiar las políticas si es necesario.

Por último, enviamos una solicitud para la solución de gestión de vulnerabilidades Rapid7, estableciendo etiquetas en una solución de control de acceso Aruba, y contuvimos al incidente dentro de la red. Todo con 218 sofisticadas líneas de código.

steve5

Este ejemplo de trabajo humano-máquina demuestra cómo las organizaciones podrían implementar nuestra inteligencia de amenazas, métodos de investigación e infraestructura de orquestación. El anuncio del lanzamiento de OpenDXL significa que dicha infraestructura puede ser construida con, e incluso ampliada más allá de, las soluciones de McAfee y de los partners de la McAfee Security Innovation Alliance (SIA), para incluir cualquier cantidad de otras soluciones de terceros.

Pero, lo que es más importante, significa que los clientes de McAfee pueden evolucionar conforme sus situaciones lo requieran. Ahora tienen el poder de diseñar capacidades de ciber-defensa únicas para sus entornos, tan especializadas y complejas como puedan ser, independientemente de sus funciones o negocios, y de cualquier manera en la que sean confrontados por el panorama de ciber-amenazas.

 

Leave a Comment

twenty − four =