Mi Resumen RSA Conference 2024

Ya cuando se ha disipado la polvareda que levanta este multitudinario evento, me permito compartirles, los temas para mí más relevantes de esta gran conferencia. Espero les resulten de utilidad en el direccionamiento de sus esfuerzos para el mejoramiento de su postura de ciberseguridad y gestión del ciber riesgo.

Mi Resumen RSA Conference 2024
Foto: Juan Carlos Álvarez

¿La muerte del SIEM Tradicional?

Este tema fue parte del Keynote del fundador de Crowdstrike, George Kurtz

Los SIEM de hoy en día ya no pueden alcanzar la velocidad de los adversarios y fallan al intentar detener las brechas.  Un SIEM tradicional sirve más como herramienta forense que como herramienta de defensa en tiempo real.  Surge entonces la necesidad de un SIEM de nueva generación, pero entonces ¿En qué consiste el llamado SIEM de nueva generación? 

El SIEM de nueva generación esta integrado de manera nativa en su plataforma de seguridad y específicamente en el Endpoint y en las plataformas de nube.    El 85% de los datos del SIEM provienen del Endpoint y el resto de las integraciones con terceras partes.   Este SIEM de próxima generación, utiliza herramientas de normalización basadas en IA para convertir alertas en incidentes relevantes, automatiza el manejo de los logs y genera los reportes para cumplimiento.  Surge entonces un nuevo tipo de SOC con IA embebida.  Este es un servicio donde convergen la seguridad predictiva y la inteligencia de seguridad con contexto del negocio.

Como no se puede asegurar lo que no vemos, es necesario garantizar visibilidad no solo en el Endpoint sino en la capa de red, los subsistemas de nube, y los dispositivos OT.   En promedio un SOC tradicional tiene más de 25 herramientas de seguridad lo que conlleva la fragmentación de los datos, cuando .La dirección correcta debe ser la consolidación.  Se trata entonces ahora de mover la analítica hacia donde están los datos, y no llevar los datos hacia donde está el motor de analítica.  Esto disminuye los costos dado el gran volumen de datos que se generan hoy en día.

Una única plataforma con entendimiento del contexto, y capacidad de respuesta automática.  Los analistas son ahora más importantes que nunca y estas plataformas nos permiten elevar el rol del analista.


Los cinco ataques más peligrosos en 2024 según SANS

Es una de mis charlas favoritas ya que destaca los ataques que normalmente no tienen gran cubrimiento en medios pero son realmente importantes.

La deuda técnica

Se refiere al costo de elegir una solución más simple o rápida en lugar de una solución más robusta y a largo plazo al desarrollar software. Con el tiempo, se convierte en un gran problema, especialmente cuando los desarrolladores experimentados se van, o las empresas se fusionan, lo que dificulta la corrección o actualización del código. Desde una perspectiva de seguridad, esto puede llevar a una arquitectura mal asegurada, vulnerabilidades pasadas por alto, dependencias obsoletas, dificultades con parches/actualizaciones y desafíos durante la respuesta a incidentes

La Solución consiste en dedicar tiempo y recursos a revisar y reescribir el código viejo.  Realizar actualizaciones incrementales en los componentes sin esperar a que salga una vulnerabilidad.

La inteligencia artificial es una buena aliada para agilizar el mantenimiento del código.  Finalmente, entrenar a los desarrolladores en la reescritura del código viejo y documentar.

La fragilidad de la identidad digital

Los ataques mediante correo electrónico como (BEC) Business Email Compromise, y los “DeepFakes” utilizando incluso video, han demostrado la fragilidad de la identidad digital.  Para evitar este tipo de fraude se recomienda realizar una llamada telefónica de confirmación. 

El trabajo remoto hace que este problema de la identidad sea aún mayor.  Incluso en ambiente de oficina es muy frecuente la interacción con personas remotas.

El establecer la identidad se divide en dos problemas: El establecimiento inicial de la identidad y el restablecimiento de los individuos ya conocidos.  El primero requiere verificaciones múltiples que pueden resultar intrusivas como biometría, cámaras web, visitas personales.  Y para el restablecimiento se requiere algo similar o confiar en técnicas criptográficas.  Siempre será difícil lograr un balance entre el costo, la comodidad y la seguridad en los métodos de validación de identidad.  Los métodos comunes de imágenes de documentos de identificación y cámaras web ya no son suficientes.

Hacia adelante veremos soluciones basadas en IA para identificar comportamientos inusuales que requieran ser revisados manualmente, a esto se le conoce como identidad basada en Riesgo (Risk based Identity). Debemos entender el costo requerido para establecer una identidad de manera remota, ya que esto es necesario en muchos casos de uso.

Sextortion

La extorsión financiera mediante contenidos sexuales es un problema que está escalando especialmente entre los adolescentes entre 10 y 13 años.   La cadena de ataque es la siguiente:Identificación de la víctima, elaboración de un video,  Grooming,  uso de fotografías y finalmente las amenazas.   Algunos de estos casos terminan en el suicidio de la víctima.   Recientemente ingresa un nuevo elemento para empeorar las cosas y es el uso de la IA en la cadena de ataque, tomando imágenes normales ya publicadas generando deepfakes para convertirlas en contenido explícito y extorsionar a la víctima.

La mayor parte de los ataques suceden en casa.   Para Prevenirlos los padres deben estar muy pendientes de las actividades online de sus hijos, mejorar las configuraciones de privacidad, entender la tecnología, educar a los niños para no hablar con extraños y acudir rápidamente a alguien en caso de dudas o algún evento.

La Inteligencia Artificial en las Elecciones

La evolución de la tecnología le está dando una nueva forma a la democracia.  La IA Generativa abre una nueva era de retos y oportunidades en la contienda electoral.  Nos encontramos en la intersección de la innovación, la seguridad y la confianza.  Es una espada de doble filo, donde por el lado positivo se generan campañas publicitarias con la ayuda del IA, se amplía la participación de los ciudadanos en el debate electoral, pero por el lado negativo se puede utilizar la IA como un arma para la manipulación, las campañas de desinformación y la interferencia en las elecciones.

La fragilidad de la confianza en la era digital

La confianza es la base de la democracia, Los Deepfakes y el contenido generado por IA están borrando las líneas de la verdad.  La desinformación y las llamadas robóticas utilizando IA erosionan la confianza.  Las campañas nos dicen mire a la derecha cuando en realidad todo esta pasando por el lado izquierdo. 

El uso de la IA

La Inteligencia Artificial está haciendo que el adversario sea mucho mas letal.  Ellos pueden encontrar las vulnerabilidades mucho más rápido. ¿Entonces cómo respondemos?   No podemos sentarnos y demorar la adopción de la tecnología de IA, cuando el adversario ya la está utilizando.

Debemos asegurar un acceso equitativo a los beneficios de la IA generativa, mitigando así riesgos para las comunidades marginadas.  Mantener la vigilancia contra la exclusión, discriminación y sesgos introducidos por IA.

Tanto los Hackers como los profesionales de la ciberseguridad están utilizando la IA o Machine Learning escenarios como estos:

  • Automatización en la generación de comandos por consola CLI usando Shell_GPT
  • Inyección de Prompts, es decir la manipulación de los LLMs mediante prompts
  • Descubrimiento de vulnerabilidades
  • Evasión del Antivirus o el EDR
  • Living off the Land (Uso de comandos propios del Sistema)
  • Automatización del trabajo de Red Team
  • IA ofensiva
  • Envenenamiento de datos en el motor de IA  (Adversarial AI)

Confíe, pero Verifique

Estamos en la era del “confíe, pero verifique”.  Alguien tiene que estar a la par con las máquinas, pero cada vez será más difícil.  No nos enfoquemos entonces en la última innovación y el último gadget, sino en los conceptos básicos de la ciberseguridad, entender cómo funcionan los sistemas, la seguridad y visibilidad de la red, los principios fundamentales de seguridad de toda la vida y las buenas prácticas de ciber higiene.


El camino a la ciber-resiliencia Operativa

Se trata de construir un programa para lograr la ciber-resiliencia operativa. Charla dictada por Alex Sharpe y Jennifer Minella (Viszen Security)

La Resiliencia operativa es una iniciativa que amplía los programas de gestión de la continuidad del negocio para centrarse en los impactos, el apetito de riesgo y los niveles de tolerancia a la interrupción de la entrega de productos o servicios.

El ORF (Operating Resilence Framework) propone una metodología muy interesante para ello. Este es un documento público generado por la GRF (Global Resilence federation) que pueden descargar sin costo.

Sepa que los incidentes van a suceder, aunque solo el 33% de las organizaciones los detectan.  El tiempo promedio de detección (MTTD) es de 777 días.  El 91% de estos ataques comienzan con un phishing.

Niveles aceptables de riesgo por cada Servicio

Reduzca el radio de explosión detectando más rápido y recuperándose pronto.   Identifique los niveles mínimos aceptables de riesgo por cada Servicio:  Ejemplo el servicio B puede estar fuera por 6 horas, pero el servicio A sólo por 6 minutos.

La Resiliencia operativa consiste en estar listo para cualquier cosa que el juego le pueda tirar. Esto involucra coordinar un buen número de grupos de personas tanto internos como externos.

Los siete pasos básicos del programa de ciber-resiliencia son:

  1. Establezca un dueño del programa de gobernanza (Framework)
  2. Entienda su ecosistema
  3. Defina los mínimos viables por cada servicio
  4. Establezca sus objetivos en la entrega de los servicios
  5. Preserve los datos críticos
  6. Habilite la recuperación
  7. Realice pruebas con la ayuda de un tercero

Nos podemos apalancar en las tecnologías generativas de LLM para agilizar la respuesta a incidentes, especialmente en temas de documentación.

Las iniciativas de Zero trust tienen mucho que ver con la resiliencia.


Construyendo el modelo de seguridad en la nube

Sabemos que asegurar la nube es un camino largo aquí algunas recomendaciones de Shaun McCullough ingeniero de seguridad Cloud en GitHub e instructor de SANS.

Fase #1: Empiece por lo fácil

Comience con algo fácil:  algo que genere baja fricción con sus equipos. Habilitar los logs de actividad como CloudTrail.  Cubra todo el ambiente, es decir todas las cuentas y envíelo a su SIEM.  Obtenga telemetría.   Encienda las herramientas de seguridad como Guarduty en AWS o defender en Azure.  Ponga a prueba la respuesta de su SOC, ya que el SOC puede estar ciego frente a la información proveniente de la nube.    

Encienda Los Logs de almacenamiento (es decir cada vez que alguien escribe o borra algo).  Estos pueden generar gran volumen de información, pero en caso de una brecha serán de gran utilidad.  Esto naturalmente incrementará el costo de uso.

Fase #2: Siga con lo difícil

 Mejore la seguridad, lo que conlleva más fricción.   Apague recursos innecesarios, depure las identidades, siga el principio de los mínimos privilegios necesarios.  Establezca límites en los accesos entre Tenants o Cross-boundary Access.  Establezca un proceso para la creación y el cambio de los recursos.  Revise la última fecha de uso de los recursos, utilizando el IAM Access Analyzer (en AWS) o Azure RBAC.

Fase # 3: Encuentre datos sensibles

Donde están mis datos sensibles. Cuales son, a quien y como lo estoy protegiendo.

En AWS utilice MACIE, analice las cuentas de almacenamiento buscando información personal (PII) y financiera.  Establezca límites para bloquear y reparar.  Remplace, no parche.

Siga el Well Architeted Framork y las buenas prácticas.  Audite y mida todo en la nube.  Pruebe ajuste y repita.


Estos fueron los temas para mí más interesantes durante el RSA Conference 2024.  Un espacio que nos permite alinearnos con las últimas tendencias y afinar nuestro portafolio en aras de llevar a nuestros clientes servicios más relevantes en ciberseguridad.  Espero el resumen les resulte útil. En los meses de Julio y Agosto invitaremos a nuestros clientes al evento “Entre Colegas”, una gira por las principales ciudades de Colombia, donde ampliaremos los temas de este artículo y abriremos la discusión para que todos puedan compartir sus experiencias, aciertos y desaciertos en su práctica de ciberseguridad.

Juan Carlos Álvarez Mesa

CEO

Interlan