Contenidos
Únase a los principales ejecutivos hoy en línea en la Cumbre de datos el 9 de marzo. Registrarse aquí.
Las brechas en los endpoints son el combustible que está impulsando una carrera armamentista cada vez más intensa entre atacantes y bandas de ciberdelincuentes contra los proveedores de ciberseguridad y las organizaciones a las que protegen. La carrera armamentista en la seguridad de endpoints se está acelerando, gracias al uso cada vez más agresivo de IA y ML por parte de atacantes, bandas de ciberdelincuentes y delincuentes APT que intentan causar estragos o cerrar organizaciones con fines de lucro.
Los servicios expuestos y los puntos finales tienen una rampa de acceso rápido
La unidad de investigación de Palo Alto Network, Unit 42, desplegó 320 honeypots en América del Norte (NA), Asia Pacífico (APAC) y Europa (UE) el año pasado. La investigación analizó el tiempo, la frecuencia y el origen de los ataques observados. Usando una infraestructura trampa de 320 nodos distribuidos globalmente, los investigadores intentaron comprender mejor los ataques contra los servicios expuestos en las nubes públicas. Los investigadores de la Unidad 42 encontraron que el 80% de los 320 honeypots se vieron comprometidos en 24 horas, y todos se vieron comprometidos en una semana. Por ejemplo, el honeypot SSH más atacado se vio comprometido 169 veces en un solo día, y un actor de amenazas comprometió el 96 % de los 80 honeypots de Postgres a nivel mundial en 30 segundos.
Lo preocupante de los resultados de la Unidad 42 para puntos finales es que el 40 % de las empresas todavía usan hojas de cálculo para rastrear certificados digitales de forma manual, y el 57 % de las empresas no tienen un inventario preciso de claves SSH. Estos dos factores contribuyen a la creciente brecha en la seguridad de los endpoints que los atacantes están altamente capacitados para explotar. Es común encontrar organizaciones que no rastrean hasta el 40 por ciento de sus endpoints, según una entrevista reciente con Jim Wachhaus, evangelista de protección de superficie de ataque en CyCognito. Jim le dijo a VentureBeat que es común encontrar organizaciones que generan miles de terminales desconocidos por año. Los CISO respaldan los hallazgos de Jim y le dicen a VentureBeat que hacer un seguimiento de cada punto final desafía lo que se puede hacer hoy a través de procesos manuales, ya que su personal de TI ya está minimizado. Agregue a eso cómo los CIO y CISO están luchando contra una escasez de mano de obra crónica, ya que a sus mejores empleados se les ofrece el 40% o más de su salario base y hasta $ 10,000 en bonos por firmar para mudarse a una nueva empresa, y la gravedad de la situación se vuelve clara. Además, el 56% de los ejecutivos dicen que sus analistas de ciberseguridad están abrumados, según BCG.
Los CISO recurren a la IA para obtener información y escalabilidad
Confiar en la inteligencia artificial, el aprendizaje automático y el análisis para mejorar la visibilidad y el control de los terminales ya no es opcional. Los atacantes y los ciberdelincuentes que automatizan sus ataques utilizando inteligencia artificial y aprendizaje automático pueden generar miles de intentos por segundo, muchos más de los que pueden mantener los mejores equipos de analistas de ciberseguridad. Mantenerse igual en la carrera armamentista requiere un enfoque sólido basado en datos que utilice inteligencia artificial, aprendizaje automático y análisis predictivo.
A continuación se muestran ejemplos de cómo los proveedores de ciberseguridad están integrando estas tecnologías en las plataformas y definiendo el futuro de la IA y el análisis predictivo para la seguridad de los endpoints:
- Uso de aprendizaje automático y NLP para descubrir y mapear todos los puntos finales. Las organizaciones a menudo no saben cuántos puntos finales tienen, dónde están y si están protegidos o no. Este es un gran caso de uso para combinar algoritmos de aprendizaje automático y técnicas de procesamiento de lenguaje natural (NLP) para descubrir y mapear puntos finales en una organización. Uno de los líderes en gestión de superficie de ataque (ASM) es CyCognito, que se basa en un proceso escalable de identificación, categorización y evaluación de la seguridad del ecosistema de TI de una organización. Jim Wachhaus de CyCognito creó el siguiente modelo de madurez basado en datos de clientes anónimos y agregados:
- Adopción rápida de análisis de comportamiento y autenticación en tiempo real impulsados por IA. Usar inteligencia artificial predictiva (IA) y aprendizaje automático para adaptar las políticas y roles de seguridad a cada usuario en tiempo real en función de los patrones de dónde y cuándo intentan acceder, el tipo de dispositivo, la configuración del dispositivo y muchas otras clases de variables para demostrar su eficacia. Los principales proveedores incluyen Blackberry Persona, Broadcom, CrowdStrike, CyberArk, Cybereason, Ivanti, Kaspersky SentinelOne, Microsoft, McAfee, Sophos, VMWare Carbon Black y otros. Las compañías dicen que este enfoque para usar la administración de puntos finales basada en IA reduce el riesgo de pérdida o robo de dispositivos, al tiempo que protege contra la clonación de dispositivos y aplicaciones y la suplantación de identidad del usuario.
- La inteligencia artificial y el aprendizaje automático seguirán mejorando la gestión de parches para reducir el ransomware. Los ataques de ransomware más notorios del año pasado comenzaron en parte porque los puntos finales estaban desactualizados en los parches. Los ataques de ransomware Colonial Pipeline, Kaseya y JBS Meat Packing muestran que los malos actores están buscando infraestructura a gran escala para obtener ganancias rentables en efectivo y bitcoins. Las plataformas de gestión de bots impulsadas por IA también están ayudando a mejorar la gestión de servicios de TI (ITSM) y la gestión de activos de TI (ITAM) al proporcionar visibilidad y control en tiempo real de cada punto final. Los enfoques de administración de parches basados en el inventario y la flota a menudo se basan en datos incompletos y no pueden reaccionar lo suficientemente rápido para mantenerse al día con la creciente complejidad de las amenazas. Agregue a esto el hecho de que las empresas ahora tienen un promedio de 96 aplicaciones únicas por dispositivo, incluidas 13 aplicaciones de misión crítica según una encuesta reciente de Absolute, y la escala del desafío para mantener los puntos finales actualizados queda clara. Mejorar la precisión del análisis predictivo es la piedra angular para hacer que la gestión de parches pase de la era de uso intensivo de inventario en la que está atrapada hoy en día a una más adaptativa y contextualmente inteligente capaz de contrarrestar las amenazas de ransomware.
El futuro de la detección y eliminación de ransomware está basado en datos. Cuanto antes lleguen los proveedores de gestión de bots, mayores serán las posibilidades de reducir el ritmo de los ataques que dominan el panorama mundial de la ciberseguridad. La adquisición de RiskIQ por parte de Microsoft el año pasado para reforzar sus productos nativos de la nube y la adquisición de RiskSense por parte de Ivanti en 2021 reflejan la alta prioridad que las empresas están poniendo para derrotar al ransomware con la administración del parche basado en datos. La adquisición de RiskSense por parte de Ivanti les permitió obtener el conjunto de datos más grande y diverso disponible sobre ataques de ransomware, junto con Vulnerability Intelligence y Vulnerability Risk Rating de RiskSense. La evaluación de riesgos de RiskSense refleja el futuro de la gestión de parches basada en datos, ya que prioriza y cuantifica el riesgo adverso en función de factores como inteligencia de amenazas, tendencias de explotación en especie y validación de analistas de seguridad. Neurons for Patch Management y Neurons for Patch Intelligence de Ivanti mejoran la confiabilidad de los parches al mejorar la visibilidad y el control de los terminales.
Lo que todavía se necesita en inteligencia artificial y análisis
El futuro de la inteligencia artificial y el análisis en la seguridad de puntos finales debe cuantificar el riesgo siempre que sea posible, y luego lograr acuerdos de nivel de servicio (SLA) más rápidos con confiabilidad de parches. Agregue a esto la necesidad de información detallada sobre cómo automatizar aún más la aplicación de parches mientras se identifican los sistemas que no cumplen con los informes de cumplimiento asistidos por IA, y la industria de la ciberseguridad tiene una hoja de ruta sólida en la que trabajar. Los proveedores de la plataforma EPP están luchando por obtener más visibilidad y control de los puntos finales, esperan ver más adquisiciones en 2022. Los inversores de capital privado siempre están buscando oportunidades para agregar los mejores proveedores de ciberseguridad en nuevas plataformas. Una mayor consolidación en este mercado será impulsada por la necesidad del CISO de administrar menos aplicaciones y plataformas y hacer una mayor contribución a los resultados comerciales y la gestión de riesgos.
La misión de VentureBeat debe ser una plaza de la ciudad digital para que los tomadores de decisiones técnicas obtengan información sobre la tecnología y las transacciones comerciales transformadoras. para saber mas