Cyber ​​Cyber, Burning Bright: ¿Puede XDR enmarcar su temible asimetría?


La industria de la seguridad está envuelta en la guerra cibernética más asimétrica que jamás hayamos visto.

El resultado de la misión de un atacante puede depender completamente de un único cargo fuera de lugar en un solo chip de memoria en un solo servidor, tal vez la diferencia entre una configuración vulnerable y segura en una clave de registro, y la diferencia entre el éxito y el fracaso para obtener acceso a la infraestructura, la información y las identidades (I3) para posteriormente causar estragos, deshabilitar operaciones o infraestructura críticas, y poner vidas en riesgo.

El resultado del día de un defensor depende completamente de qué tan bien aseguran billones de cargas a través de chips, computadoras, contenedores, nubes e incluso automóviles contra miles de atacantes simultáneos que ejecutan millones de ataques, cada uno de los cuales recorre el reino del Defensor en busca de las joyas de la corona del control y la información.

Esta guerra ridículamente desigual entre el atacante y el defensor ha sido un desafío bien conocido en ciberseguridad durante algún tiempo, y algunos Estadísticas encontrar siempre su camino en las primeras diapositivas de las presentaciones de PowerPoint. Sin embargo, esta dinámica asimétrica sigue siendo quizás la verdad más fundamental que debería guiarnos para innovar y diseñar soluciones para brindar a nuestros Defensores mejores resultados todos los días. Desde este lente, primero, debemos discutir cómo dar forma y priorizar las capacidades de protección, detección y respuesta con las que armaremos a los Defensores.

Tyger, 'Tis But a Flesh Wound: The Defender’s Déjà Vu

Debemos enfrentar algunas verdades duras y humillantes que la historia nos ha enseñado sobre nuestra guerra asimétrica:

UNA. Mejores programas de respuesta a incidentes (IR) y una mejor capacitación en IR no resolverán este problema. Las mejores prácticas y las actualizaciones de herramientas ganarán algunas batallas para el Defensor. Todavía, investigar sugiere que una inversión total en SOAR y otras herramientas de automatización reducirá como máximo los costos en aproximadamente un 60% para los líderes sobre los rezagados, todo mientras el costo de las infracciones continúa aumentando en todas las organizaciones. La inversión en programas de RI está indudablemente justificada desde una perspectiva financiera, pero esa inversión equivale a afilar nuestras lanzas alrededor de la fogata mientras esperamos que los tigres se abalancen en la perspectiva a largo plazo de la guerra asimétrica.

B. El espíritu empresarial continuo y la innovación en controles y marcos de seguridad novedosos pero transitorios no resolverán este problema. Simson Garfinkel, actualmente científico de datos sénior en el Departamento de Seguridad Nacional de EE. UU., habló de "El lío de la ciberseguridad" y cómo "la ciberseguridad es un problema perverso que no se puede resolver" hace casi una década, que posiblemente fue un momento mucho más simple y manejable para los defensores. Ciclo de bombo de Gartner es un excelente rastreador del ciclo de vida del valor para las categorías de invenciones, y pocas categorías tienen un viaje más rápido en la montaña rusa Hype Cycle que la ciberseguridad. En el mejor de los casos, los controles de seguridad pasan rápidamente de productos independientes revolucionarios a características de elementos de línea en una hoja de datos a medida que los atacantes se adaptan y superan su propuesta de valor principal. Quizás los próximos diez tigres estén atrapados en trampas camufladas, pero pronto notamos que se han adaptado para evitarlos e incluso establecer las suyas propias.

Entonces, ¿aceptamos nuestro destino y la derrota final del Defensor a manos de los Atacantes? ¿O hay una iniciativa de Mars Shot que podría empequeñecer todo lo que hemos logrado en el pasado, aportando simetría a la guerra y borrando millones de años-persona de experiencia y superioridad de los atacantes en un instante? ¿Y qué diablos tiene esto que ver con eXtended Detection and Response (XDR)?

Go y The Great Equalizer: ciberseguridad y una IA que no es la habitual

Hace casi 25 años, Deep Blue de IBM superó 1500 años de conocimiento acumulativo de ajedrez para derrotar a Garry Kasparov. Hace cinco años, AlphaGo de Google DeepMind destruido más de 3000 años de técnicas y estrategias acumuladas para suplantar a Lee Sedol como el mejor jugador de go de todos los tiempos. Poco después, la próxima generación de Google AlphaZero dejó obsoleto a su propio mentor AlphaGo, habiendo aprendido ajedrez y sin ninguna interacción humana. Parece incomprensible que los seres humanos incluso intenten recuperar estos títulos, y tenemos aprendizaje por refuerzo profundo (Deep RL) para agradecer.

Tenemos la misma oportunidad enormemente disruptiva de darle esperanza al Defensor al buscar incorporar sistemas de inteligencia artificial automatizados de autoaprendizaje en nuestros controles de prevención, detección y respuesta, como se describe en la Revisión de tecnología del MIT que analiza los usos de seguridad para AIOps. Menos un punto en el ciclo de Gartner Hype, y más un Nueva dimensión de innovación, este sistema de IA de ciberseguridad, como todos los sistemas de IA, requiere dos componentes principales para alimentar su hambre de aprender: (a) grandes cantidades de datos relacionados con las entradas y salidas de la I3 sistemas en la superficie de ataque, y (b) mecanismos de retroalimentación confiables y flujos de trabajo para entrenar los algoritmos. Los precursores de estas necesidades se asignan fácilmente a (a) los mercados SIEM y Security Analytics bien establecidos y (b) los mercados EDR más nuevos y XDR emergentes.

Fuente: Sutton, R.S., Barto, A.G. (2015). Aprendizaje por refuerzo: introducción, págs.54.

EDR y análisis de seguridad: el fluido de arranque para este incendio de Promethean

Allie Mellen, analista de Forrester Research que cubre SecOps, ya ha escrito un excelente Informe de investigación describiendo sucintamente las fortalezas y debilidades clave de estos mercados y la dinámica que probablemente se desarrolle en el corto plazo:

UNA. Es inevitable una convergencia de tecnologías y capacidades críticas de los mercados SIEM, SOAR y XDR; y,

B. Las plataformas EDR y EDR son los precursores evolutivos naturales de XDR, dado que los puntos finales se han convertido en nodos fundamentales en las cadenas de ataque.

La tecnología EDR en computadoras, computadoras portátiles y teléfonos ha demostrado brindarnos el conocimiento más detallado y sólido sobre el comportamiento y los riesgos del usuario final. EDR proporciona una progresión natural rica en datos a XDR en Gartner Ciclo 2020 Hype para la seguridad de endpoints como la "próxima tecnología" para proporcionar comentarios de capacitación significativos y prescriptivos a las plataformas de IA emergentes (por ejemplo, el Analista A de IR llevó a cabo los Pasos X, Y y Z en los Controles 1, 2 y 3 para negar la Amenaza A). A través de investigaciones como el aprendizaje automático multitarea de Google ejercicio y de Zhamak Dehghani replanteamiento innovador de arquitecturas de datos, también hemos llegado a comprender que el futuro3 Los conjuntos de datos para el consumo de IA probablemente residirán en mallas de datos distribuidas globalmente y no en lagos de datos monstruosos y monolíticos. La evolución de SIEM a Security Analytics y de EDR a XDR ofrece los pasos preliminares para llevarnos a una plataforma “DeepSecOps” totalmente integrada que tiene el potencial de cambiar la asimetría atacante-defensor. Para este blog, definamos DeepSecOps como una plataforma o sistema que integra de manera transparente y automática los componentes y procesos descritos en el diagrama anterior (y potencialmente más), con el aprendizaje autoalimentado y la respuesta automatizada efectiva como objetivos fundamentales.

También existe una razón más premonitoria para invertir en XDR como precursor de DeepSecOps. Tomorrow's Attacker está perfeccionando su oficio hoy: lanzarán casualmente miles de contenedores a través de una infraestructura híbrida de múltiples nubes diseñada para transformarse en múltiples perfiles de infraestructura de destino con varios controles de seguridad listos para usar ya implementados, y luego desatarán miles de ataques simulados mientras que su propio El motor Deep RL observa y mide su éxito.

Para el defensor: Encuentra aliados que estén construyendo hacia ese futuro que se puede ganar

Los defensores deben buscar socios de ciberseguridad que les ofrezcan un camino claro para sentar las bases de un futuro de DeepSecOps. ¿Cómo se ve esto hoy? Algunas consideraciones clave:

  • Priorizar el trabajo con un proveedor de seguridad que tenga una base sólida en EDR que les informe sobre el mejor enfoque para la orientación de XDR y AI / ML,
  • Asegúrese de que su proveedor de seguridad tenga experiencia en proporcionar soluciones de análisis de seguridad que se integren en su cartera y con otros proveedores y socios para maximizar I3 recopilación de datos,
  • Considere los proveedores de seguridad que priorizan la integración de API y componentes de terceros en un ecosistema compartido para aumentar la cantidad y los tipos de datos disponibles para el sistema DeepSecOps.
  • Al mismo tiempo, asegúrese de que su proveedor de seguridad admita suficientes controles de seguridad orgánicos en su plataforma para capacitar a los sistemas de inteligencia artificial en el mejor camino a seguir sin depender de socios (es decir, un proveedor XDR con capacidad nativa que aún fomenta la hibridación según el artículo de Mellen). Estas tecnologías podrían incluir CASB, DLP, SWG y más, como fuentes de datos sin procesar y como controles sobre los que entrenar los resultados. Idealmente, el proveedor debería tener visibilidad nativa de un extremo a otro, desde el usuario final hasta la nube, desde el usuario de la aplicación hasta el codificador de la aplicación,
  • Asegúrese de que su proveedor de seguridad tenga una plataforma, una estrategia y una hoja de ruta adecuadas para ofrecer una arquitectura de malla de datos.
  • Busque oportunidades para trabajar con proveedores que ya aprovechan AI / ML para reducir de manera preventiva las superficies de ataque y proporcionar investigaciones guiadas que indiquen la adopción temprana de los principios y arquitecturas de DeepSecOps.

Haga de estas consideraciones los precursores tácticos para desencadenar la tecnología DeepSecOps que replanteará y contendrá la asimetría atacante-defensor.

¿A qué alas se atreven a aspirar?

Lo que la mano, se atreven aprovechar el fuego?

Captura ese fuego de Promethean con MVISION XDR

Ya sea que esté creando una función SOC con recursos limitados o madurando un SOC bien establecido, McAfee está aquí para ayudarlo a simplificar y fortalecer sus operaciones de seguridad con MVISION XDR. Con MVISION XDR, puede identificar, investigar y mitigar de manera proactiva los actores de amenazas que se dirigen a su organización antes de que puedan establecerse en la red. Al combinar las últimas técnicas de aprendizaje automático con el análisis humano, XDR conecta y amplifica las señales de alerta temprana de sus sensores en la red, el punto final y la nube para mejorar el conocimiento de la situación, tomar decisiones mejores y más rápidas y elevar su SOC.

Para obtener más información sobre lo que MVISION XDR puede hacer por usted, mire el video a continuación.

* Con disculpas a William Blake por arrastrar su brillante metáfora al mundo de la ciberseguridad y con un guiño al primer Lobezno. cómic.





Enlace a la noticia original