Noticias
PandaLabs: Presente y futuro de la ciberseguridad
PandaLabs acaba de publicar Threat Insights Report, un informe en el que analiza presente y futuro de las amenazas. Repasamos sus puntos principales.
Si hay unos lugares con unas vistas privilegiadas sobre lo que ocurre en el mundo de la ciberseguridad, sin duda esos espacios son los laboratorios de las empresas de seguridad. Centros de análisis que, como es el caso de PandaLabs, el laboratorio de seguridad de Panda Security, dedican una importante cantidad de recursos y esfuerzo a detectar las amenazas presentes, así como a intentar ir un paso por delante para adelantarnos lo que está por venir.
Por eso, siempre que este tipo de centros de inteligencia publican algún informe, ya sea referido a una amenaza o ataque concreto, o un análisis global de la situación, resulta muy interesante revisarlos en profundidad. Y es que no debemos olvidar que gracias a la telemetría de sus soluciones de seguridad, son estos los primeros espacios en los que se tiene constancia de nuevas amenazas in the wild.
Tal es, sin duda, el caso de Threat Insights Report, un informe publicado por PandaLabs en el que, en base a toda la inteligencia recuperada gracias a los datos generados por sus soluciones, podemos tener una imagen de primera mano de a qué amenazas nos enfrentamos cada día y, en base al análisis de tendencias, que es lo que está por venir y, por lo tanto, qué puntos de nuestras políticas de seguridad debemos reforzar.
La primera conclusión de PandaLabs que podemos leer, y con la que estoy totalmente de acuerdo, es que en lo referido a seguridad los tiempos de la intuición como elemento sobre el que hacer pivotar nuestra política de seguridad es un error. Esto, ojo, no tiene nada que ver con infravalorar el conocimiento de los profesionales, ni remotamente. El problema es que, para intuir algo, debemos ser conscientes de su existencia, y para conocer todas las amenazas a las que nos enfrentamos deberíamos ser capaces de analizar y procesar un mastodóntico volumen de datos.
Hace unas semanas, intentaba responder a la pregunta sobre si la inteligencia artificial puede llegar a sustituir a los CISOs. La conclusión coincidía plenamente con lo que plantea el informe de PandaLabs: no, los CISOs son, hoy en día, más importantes que nunca, pero para alcanzar la máxima eficacia en sus labores es fundamental que opten por herramientas capaces de procesar volúmenes enormes de datos, y que sean capaces de extraer una gran base de conocimiento a partir de los mismos. Solo así se puede plantear una estrategia proactiva, en vez de un modelo reactivo en el que solo se actúa cuando ya se está sufriendo un problema.
En lo referido a estas soluciones, un factor clave para PandaLabs es que la información generada por el endpoint, sea éste del tipo que sea, sea rápidamente incorporada a la base de conocimiento de la solución de seguridad empleada. Algo a lo que hay que sumar, sin duda, que estos cuenten con capacidades avanzadas de protección en el endpoint (EPP) y de detección y respuesta del mismo (EDR). Dicho de otra manera, debe ser capaz de defenderse y, la vez, proporcionar información al centro neurálgico de la gestión de la seguridad.
Otro aspecto muy interesante en el que incide el laboratorio de Panda Software es la necesidad de adoptar modelos zero trust. Sin embargo, a este respecto introducen un matiz importante a tener en cuenta, y es el riesgo de que, bajo este paradigma de seguridad, se aplique una lista blanca (white list) que desatienda el análisis aplicaciones legítimas. Desde hace algunos años se ha empezado a esbozar el concepto de ataques sin fichero (fileless), una disciplina a la que podemos sumar el hacking en vivo y los ataques Living-off-the-Land (LotL). ¿Qué denominador común tienen? Que no es necesario instalar un patógeno?
En su lugar, se emplean vulnerabilidades (ya sean conocidas o zero day) de aplicaciones que se encuentran en la lista blanca, por ser supuestamente confiables, y gracias a las mismas se puede no solo lograr una infiltración en el sistema, sino que además ésta permanezca sin ser detectada durante bastante tiempo, puesto que la aplicación desde la que se está produciendo se encuentra en una lista blanca y, por lo tanto, no es sometida a escrutinio. Algo que, tal y como plantea PandaLabs, solo se puede prevenir ignorando la lista blanca y analizando también el comportamiento de las aplicaciones supuestamente seguras.