Llegamos a ustedes gracias a:



Columnas de opinión

El futuro de la seguridad informática es máquina vs máquina

Por: Roger A. Grimes, columnista de CSO especializado en seguridad

[29/05/2018] Un número creciente de pensadores de seguridad informática, incluyéndome a mí, piensan que, en un futuro muy cercano, la mayoría de la seguridad informática será máquina versus máquina: bots buenos versus bots malos, completamente automatizados. Ya casi estamos allí.

Afortunada o desafortunadamente, no creo que lleguemos a una defensa puramente automatizada durante mucho tiempo.

Las defensas de seguridad de hoy

Gran parte de nuestras defensas de seguridad informática ya están completamente automatizadas. Hoy más que nunca, nuestros sistemas operativos están configurados de forma más segura, desde el inicio del firmware hasta el sistema operativo que ejecuta aplicaciones en límites virtuales impuestos por hardware seguro. Si se los deja solos en su estado predeterminado, nuestros sistemas operativos se actualizarán automáticamente para minimizar cualquier vulnerabilidad conocida que haya sido abordada por el proveedor del sistema operativo.

La mayoría de los sistemas operativos vienen con listas negras rudimentarias de "aplicaciones malas y "certificados digitales malos que no se ejecutarán, y firewalls siempre activos con un buen conjunto de reglas de "denegación de forma predeterminada. Cada sistema operativo contiene un programa antimalware incorporado, que se actualiza autónomamente, o los usuarios o administradores instalan uno como una de las primeras tareas administrativas que realizan. Cuando se lanza un nuevo programa de malware, la mayoría de los programas antimalware reciben una actualización de firma dentro de las 24 horas.

La mayoría de las empresas está ejecutando o suscribiéndose a servicios de gestión de mensajes de registro de eventos (por ejemplo, monitoreo de eventos de información de seguridad o SIEM) que agregan eventos de seguridad, informan sobre ellos y quizás implementan acciones correctivas automáticamente (es decir, "recuperación autónoma). Cada uno de estos servicios de protección se vuelve mejor y más preciso con el tiempo.

Las defensas de seguridad del mañana

Los proveedores de sistemas operativos están trabajando para proporcionar aún más seguridad automatizada en el futuro cercano. Una de las tareas más desalentadoras para cualquier administrador de empresa es asegurarse de que todas las computadoras y dispositivos bajo su control estén configurados de forma segura y se mantengan así a largo plazo. La mayoría de las empresas ya tienen programas de software que hacen inventario y controlan la configuración de seguridad del sistema. Lo que está cambiando es que los proveedores de sistemas permitirán que los terceros de confianza, que tienen una mejor y más actualizada comprensión del clima de seguridad actual, configuren más fácilmente las computadoras de todos.

El cliente se suscribirá a un servicio basado en la nube, que administrará completamente la configuración de seguridad de sus dispositivos. Ya se ofrece y sucede hoy, pero la mayoría de los servicios no son demasiado sofisticados. Muchos de estos servicios administran solo unas pocas docenas de configuraciones. Esto está cambiando rápidamente. En un futuro cercano, espero que los clientes tengan docenas de sofisticados servicios de configuración con innumerables opciones de configuración de las cuales elegir. Es probable que su personal no tome la mayoría de las decisiones de seguridad. Esa es la razón por la cual tendrá que pagarle al proveedor de servicios para que decida.

Otro cambio serán las actualizaciones más oportunas de configuraciones de seguridad basadas en las condiciones de seguridad actuales. Hoy en día, los administradores de la configuración de seguridad pueden tardar semanas en responder a una nueva y creciente amenaza. En el futuro cercano, cuando se advierta una nueva amenaza de seguridad, los cambios necesarios en la configuración defensiva probablemente se eliminarán en unas pocas horas. Si se conoce un nuevo ransomware o amenaza persistente avanzada (APT), se reducirá en horas mucho antes de que pueda dañar a su organización -no solo en el nivel de firma antimalware, sino en todos los lugares (por ejemplo, firewall o lista negra) que se necesitan para sofocar la amenaza.

Los bots buenos con IA viajarán y recorrerán su red en busca de maldad y computadoras mal configuradas. Si su dispositivo está dañado, espere que el dispositivo se cure solo. Hará una copia de seguridad de sus datos, si es necesario -probablemente no porque esté protegido en la nube- y luego restaurará el sistema operativo a la última copia conocida que no haya sido afectada.

Batallas futuras: hackers versus servicios de seguridad centralizados

Debido a que gran parte de nuestra infraestructura informática estará protegida y controlada por tomadores de decisiones bien informados y basados en la nube, el malware y los hackers del futuro se verán obligados a luchar, en primer lugar, contra los servicios centralizados si alguna vez esperan extenderse. Probablemente se suscriban a estos mismos servicios y busquen agujeros, o se suscriban a un servicio malicioso que pertenece a múltiples servicios dedicados a buscar y vender puntos débiles, al igual que algunos servicios hoy en día luchan contra la precisión de VirusTotal.

Aquí es donde los futuros contextos de defensa y ataque comienzan a parecerse bastante a una batalla entre máquinas. Nuestras defensas futuras serán más centralizadas, coordinadas y automatizadas. Los hackers tendrán que hacer lo mismo para mantenerse adelante. Si no automatizan tanto o más que los servicios de defensa, no podrán hacer tanta maldad.

Los hackers y el malware recurrirán tanto a la automatización y a la IA como los defensores. Cuando los defensores bloquean el elemento malicioso que estaba teniendo éxito hace unos minutos, el servicio automatizado malicioso tendrá que responder rápidamente. La IA que sea mejor determinará quién será el vencedor.

Los humanos nunca estarán completamente fuera de la ecuación

Desde el comienzo de las computadoras, los compromisos basados en el ser humano como la ingeniería social y el phishing han estado entre las principales amenazas informáticas. Ha resultado muy difícil para cualquier solución de software o hardware evitar que los humanos tomen malas decisiones de seguridad. Si fuera fácil, hubiéramos derrotado este tipo de amenazas hace décadas. En cambio, posiblemente para siempre, seguiremos confiando en la educación del usuario final en diferentes grados.

¿Skynet se volverá consciente de sí mismo?

A diferencia de Elon Musk (¿qué sabe él?), no me preocupa que la inteligencia artificial (IA) y que la automatización sean una gran amenaza para la humanidad. Claro, a medida que nos centralizamos en la seguridad y las configuraciones, un solo error puede eliminar a más computadoras que nunca. Ya hemos visto instancias similares en las que un escáner antimalware de gran tamaño elimina por error un archivo crítico del sistema operativo. Ocasionalmente tenemos estos errores, provocan una interrupción temporal, y aprendemos y avanzamos. En el horizonte de tiempo más largo, los errores ocasionales valen la pena por la protección que obtenemos a cambio.

Es importante darse cuenta de que es probable que las soluciones de seguridad informática más grandes y centralizadas formen parte de su futura carrera y decisiones de seguridad informática. Al igual que el correo electrónico y sus aplicaciones trasladadas a la nube, también sucederá con la seguridad de su computadora.

Como columnista especializado en seguridad, Roger A. Grimes es un colaborador de CSO con más de 40 certificaciones. Es autor de ocho libros sobre seguridad informática. Ha estado luchando contra el malware y los hackers malintencionados desde 1987, comenzando con el desmontaje de los primeros virus DOS. Actualmente ejecuta ocho honeypots para rastrear el comportamiento de los hackers y malware, y es consultor de empresas que van desde las Fortune 100 a pequeñas empresas.