Arquitectura de Seguridad Adaptativa

¿Ha escuchado hablar sobre la Arquitectura de Seguridad Adaptativa?

*por Leonardo Carissimi

La naturaleza está llena de ejemplos de organismos que detectan amenazas en el ambiente y responden de forma dinámica a ellas. Ejemplos obvios son nuestro sistema inmunológico y el camaleón. Hay otros ejemplos menos evidentes, como el estudiado recientemente en un ecosistema en África del Sur, formado por una población de acacias y otra de antílopes. Los animales se alimentaban de las hojas de los árboles de forma moderada, en equilibrio, hasta que en un determinado día, por razones desconocidas, la población de antílopes creció. Como consecuencia, la demanda por las hojas de los árboles también aumentó. Estas, sintiéndose amenazadas, reaccionaron produciendo toxinas en sus hojas, las cuales fueron letales para los animales.

Nos enfocaremos en este último caso, pues va más allá de la tradicional visión de detección de una amenaza y respuesta. Presenta un tercer elemento útil para análisis: las acacias demostraron alguna capacidad predictiva. Al analizar el histórico de consumo de sus hojas y su capacidad de regeneración, observaron una tendencia de aumento de consumo arriba de su capacidad de regeneración. La detección de la amenaza no fue “binaria” y sí sofisticada a punto de concluir que a partir de un punto la sobrevivencia de las plantas estaba en riesgo. Ante este análisis, una nueva “arquitectura” de sus hojas (con toxina) fue adoptada.

En el escenario empresarial, ocurre que las arquitecturas de Tecnología de la Información (TI) de grandes organizaciones están cada día más complejas. No es exageración decir que estas empiezan a rivalizar con la complejidad de algunos organismos, como las acacias. Proteger los datos críticos del negocio en este tipo de ambiente, se vuelve un trabajo cada vez más desafiante: las arquitecturas de seguridad se volvieron complejas, algunas veces se encuentran en silos, lo que aumenta los costos, la probabilidad de errores y fallas, además de disminuir la eficacia de la arquitectura de seguridad como un todo. La fluidez del actual paisaje de amenazas, la desaparición de fronteras de red claras, sumados al aumento del número de conexiones dentro y fuera de la empresa aumentan la probabilidad y la velocidad de un ataque.

Muchos analistas y administradores de seguridad ya admiten, el tema no es SI un incidente de seguridad va a ocurrir, sino CUÁNDO, y cómo será su capacidad de detectar y responder. Por eso, algunos abordajes ya parten de la premisa que los sistemas están comprometidos y exigen monitoreo continuo, con mecanismos de respuesta automática e inmediata, buscando contener amenazas activas y neutralizar potenciales vectores de ataque.

En esta línea, Gartner prevé que los presupuestos en seguridad en los próximos años deberán enfocarse cada vez más en los temas de monitoreo y remediación continuas e inmediatas. Se estima que en 2020, el 60% de los presupuestos de seguridad deberán ser asignados para esta cuestión.

Uno de los abordajes para una implementación eficaz de este modelo es la Arquitectura de Seguridad Adaptativa (ASA), definida también por Gartner con los siguientes pilares:

  • Capacidad preventiva: este es el conjunto de políticas, herramientas y procesos que buscan prevenir la ocurrencia de ataques exitosos. Incluso que venga a crecer menos en los próximos años, en lo que respecta a los temas de monitoreo y respuesta continua, no hay duda que es importante prevenir. Pero observe la necesidad de modelos de prevención Zero Trust, que pueden ser datos por micro-segmentación definida por software, aumentando la seguridad sin aumentar los costos.
  • Capacidades de detección: son los controles concebidos para identificar ataques que evadieron de forma exitosa las medidas preventivas. Hoy en día, en esta área son necesarios elementos que dan un paso adelante, además de la simple correlación de eventos (dada por herramientas SIEM – Security Information and Event Management), incorporando algoritmos de Data Analytics, Machine Learning, detección de estándares y comportamientos que estén fuera de la normalidad de las operaciones usuales, etc.
  • Capacidades de respuesta: proporcionan una forma de responder a la amenaza – sea encogiendo la superficie de ataque, disminuyendo su velocidad, actuando en su remediación, entre otros aspectos. Un tema relevante aquí es la capacidad de respuesta automática a una determinada amenaza. Una buena opción es integrar el sistema de detección con una tecnología dinámica como la micro-segmentación, lo que permite prontamente colocar en una red especial de cuarentena, un sistema comprometido, evitando el movimiento lateral del atacante o el esparcimiento de malwares en la red.
  • Capacidades predictivas: son aquellas que permiten a la organización prever ataques, analizar tendencias y pasar de una postura de seguridad reactiva a una proactiva. Como el panorama de amenazas es dinámico y evoluciona de forma rápida, es fundamental una combinación eficaz de las técnicas de detección avanzadas apuntadas arriba, con una sofisticada red de Inteligencia de Amenazas – que agregue inteligencia específica del sector de la economía, suministradas por fabricantes, identificadas por proveedores globales de servicios de monitoreo de seguridad, amenazas cazadas (“threat hunting”) en redes sociales, dark web, etc.

* Leonardo Carissimi es Director de Soluciones de Seguridad de Unisys en América Latina.