El ascenso, la caída y el renacimiento de la presunción de compromiso



El auge de la presunción de compromiso

En ciberseguridad solemos decir que “la prevención es lo great, pero la detección es imprescindible”. Pero ¿por qué decimos eso? ¿No deberían ser imprescindibles tanto la prevención como la detección en un enfoque de seguridad de defensa en profundidad por capas? Bueno, este dicho tiene sus raíces en una visión realista de la realidad, donde nosotros, como profesionales de la ciberdefensa, hemos llegado a aceptar que es casi imposible evitar que los malos entren en los sistemas conectados. Las opciones son el aislamiento total (que, en algunos casos, puede ser eludido) o correr el riesgo de una violación del sistema. Esta noción de prevención fallida se ha convertido en un eje en nuestra estrategia de defensa moderna y se conoce como «presunción de compromiso». Es decir, suponga que ya ha sido violado y concéntrese en la detección y erradicación interminables de la maldad que acecha en sus sistemas.

Como fallamos en la prevención, recurrimos a la detección. Parafraseando a Churchill: nadie pretende que la detección sea perfecta o sabia. De hecho, se ha dicho que la detección es la peor forma de defensa a excepción de todas aquellas otras formas que se han probado.

La caída inevitable de la presunción de compromiso

Sin embargo, la forma actual de presunción de compromiso, que se centra en la detección rápida, está destinada a fracasar porque su versión contemporánea sirve simplemente como una herramienta táctica en lugar de un marco estratégico. Le dice en qué no confiar, pero no le dice cómo resolver realmente el problema. En lugar de proporcionar una solución, la presunción de compromiso simplemente echa a perder el camino.

en un experimento reciente que invita a la reflexión, Los investigadores de seguridad de Splunk intentaron determinar la velocidad de encriptación de las familias modernas de malware ransomware. Seleccionaron 10 familias de ransomware y midieron el tiempo que les llevó a cada una cifrar 100 000 archivos en el sistema de la víctima. Los resultados fueron asombrosos. Tomó 45 minutos en promedio, con el ransomware más lento (Babuk) capaz de cifrar los archivos en 3,5 horas, mientras que el ransomware más rápido (Lockbit) logró este objetivo en solo 4 minutos (!).

Otro investigación recienteque analizó los ataques de ransomware, concluyó que «la duración promedio de un ataque de ransomware empresarial se redujo un 94,34 % entre 2019 y 2021».

Un parámetro adicional a considerar en este contexto es el tiempo de ruptura, que mide cuánto tiempo le toma a un adversario saltar de un sistema inicialmente comprometido al siguiente. Según CrowdStrike, el tiempo medio de ruptura en 2021 es de 1,5 horas. En 2018, fueron casi 2 horas.

Desafortunadamente, estas medidas proporcionan un pronóstico sombrío para nuestro futuro cercano. Los atacantes son cada vez más rápidos y la ventana de detección cada vez más reducida está bajo una presión constante.

Carrera armamentista de automatización

Para detectar más rápido, los defensores recurren a la automatización, a veces mediante el uso de firmas estáticas y reglas de detección, y otras veces con la ayuda del aprendizaje automático. Desafortunadamente, la automatización no es monopolio de los buenos, y los atacantes también la usan. Ser capaz de infligir daños más rápido y con menos personal sirve bien a los modelos comerciales de los atacantes, por lo que el incentivo para automatizar los ataques nunca ha sido tan fuerte.

Una vez que ambos lados, el ataque y la defensa, recurren cada vez más a la automatización, terminamos en una carrera armamentista de automatización en espiral. Los defensores han tenido una ventaja inicial en esta carrera, pasando los últimos años desarrollando e implementando soluciones basadas en IA. Sin embargo, es aterrador pensar en las consecuencias de la adopción masiva de dichas tecnologías por parte de los atacantes, que continúa reduciendo la ventana de detección.

El renacimiento de la presunción de compromiso

La inescapable reducción de la ventana de detección nos obliga a repensar su foundation. A largo plazo, parece que la detección por sí sola ya no es una estrategia de defensa feasible. En cambio, creo que el enfoque de la estrategia defensiva pasará a la resiliencia: ser capaz de recuperarse rápidamente de un incidente, con la automatización y los sistemas computarizados volátiles que pueden activarse y desactivarse instantáneamente y desempeñar un papel fundamental.

No se equivoque: después de todo, una presunción de compromiso es una buena strategy. Nos mantiene nítidos y realistas. No obstante, su manifestación precise orientada a la detección parece una estrategia perdedora a largo plazo. En su lugar, deberíamos empezar a centrarnos en sistemas resilientes, autorrecuperables y reconstruibles al instante. Tal capacidad de recuperación establecerá el componente faltante de la solución: protección, detección y resiliencia. Juntos, tienen el poder de formar la santísima trinidad de una estrategia de defensa en profundidad verdaderamente sostenible.



Enlace a la noticia initial