"Del mismo modo que cualquier otra industria, la de ciberseguridad se ha tenido que adaptar, muchas veces de forma urgente, a las nuevas “necesidades” (por no decir ciberamenazas) que han ido surgiendo.
En los albores de la protección de puesto de trabajo, los sistemas de detección del escaso malware que había podían hacer su trabajo mediante el cotejo de funciones hash, de este modo, cuando detectaban el hash de un malware ya conocido, era detenido.
Sin embargo, los “malos” no se quedan atrás y empiezan a surgir el malware polimórfico, con diferentes técnicas que hicieron a las detecciones por hashes más que obsoletas. Pero la industria se adaptó, desarrollando los sistemas basados en firmas, las cuales podían detectar estos intentos de polimorfismo.
Más adelante, surgen gusanos y otros malwares que tratan de propagarse, así como técnicas para hacer uso de problemas en los primitivos sistemas operativos. De ahí hacen surgir los sistemas de “IPS” basados en “host”, es decir, los HIPS, así como los “parcheos virtuales”. Estos sistemas evitan el uso de, por ejemplo, técnicas de buffer overflow, o bien a nivel de red detectan, a modo de IPS de red, la “firma” de “propagación” de un malware para así bloquearlo.
Durante un tiempo, se vivió una pequeña tregua. Si bien es cierto que algún malware de vez en cuando se hacía medianamente famoso, era algo abordable, lo que hizo que el foco de la seguridad se moviese de los sistemas de seguridad endpoint, quedando éste en prácticamente una “commodity” a la que prácticamente nadie prestaba atención. Es más, muchas veces, estos sistemas eran adquiridos por la misma persona que decidía la compra del papel higiénico.
Sin embargo, algo cambió cuando el ransomware empezó a popularizarse. Los fabricantes fueron pillados con el paso cambiado y apenas ofrecían capacidad de protección, salvo recomendaciones genéricas. El ransomware pensó en algo que los fabricantes no esperaban: ¿por qué no hacer un programa de “cifrado” que el usuario “voluntariamente” decide ejecutar?. No era el típico malware, con sus patrones reconocidos. Aprovechaban algo que muchas veces en charlas de concienciación se denomina la principal amenaza: aquello que está entre la silla y el teclado, el usuario. Si éste decide usar una aplicación de cifrado, ¿por qué el antivirus debería impedirlo?. Claro, que el usuario no quería hacer esto, era evidentemente engañado.
Este tipo de ataques han llevado de cabeza a los fabricantes durante mucho tiempo, surgiendo diferentes filosofías para su detección: desde la creación de “ACL’s” para indicar qué binarios deben escribir sobre un directorio, la inoculación de ficheros que dicen al ransomware que ya ha sido “cliente” o la detección del comportamiento en si de cifrar, es decir, entra un fichero A y que éste termina “destruido” tras su acceso.
Sin embargo, no sería este el único frente al cual enfrentarse... Las vulnerabilidades a lo largo de los últimos años han crecido prácticamente de forma exponencial. Éstas son usadas desde para la creación de ATPs (muchas veces relacionados con agencias de inteligencias para espiar/atacar a países enemigos) o para que el malware “corriente” y ransomware lo usen para mejorar su propagación. Así pues, las vulnerabilidades empiezan a ser cada vez más utilizadas por los cibercriminales, llegando a verse el uso de 0days, vulnerabilidades no conocidas y por tanto no parcheadas por los fabricantes de software, en malware “común” y no sólo en los famosos ATPs antes comentados.
Pero no sólo el uso de vulnerabilidades se ha popularizado, también el empleo de técnicas de ofuscación para inocular malware en binarios nada sospechosos pero que consiguen eludir las técnicas de detección de malware tradicional, así como el cada vez más y más grupos que se dedican a la ciberdelincuencia, lo que empieza a hacer cada vez más complicado tener un “paciente cero” (primer infectado de quien extraer muestras) en entornos de honeypots/laboratorios.
Todo parecía acabado, un camino sin salida donde el “malo” ganaría la batalla pero, como vimos antes, la industria vuelve a adaptarse y emplea técnicas que parecen de ciencia ficción, como la IA o Inteligencia Artificial. ¿No hay coches autopilotados?, ¿por qué no sistemas de detección de malware con un sistema similar?, con un cerebro que permita detectar incluso aquellos malwares que no haya visto antes. Esto parece el santo grial, una máquina que “piensa” para detectar malware… pero en realidad tiene sus pequeños inconvenientes: es muy difícil enseñar a estos sistemas y siempre tienen que estar bajo supervisión.
Para enseñar a este tipo de sistemas basados en IA, es necesario disponer de cientos de millones de muestras, pero además, muestras reales representativas, por lo que la tarea de filtrarlas y tener aquellas que merecen la pena es una labor muy compleja.
Por otro lado, ¿qué pasa si no tenemos cientos de millones?, Pues que el modelo de IA será muy pobre, dando como resultado detecciones incorrectas o directamente, no detectando esas amenazas de las que tiene que protegernos.
Así pues, el equilibrio debe estar en un correcto balance entre todas las técnicas, volviendo a la seguridad por capas tradicional y no cayendo en la tentación de usar solo una aunque esta sea muy prometedora.
De forma tradicional, la seguridad por capas siempre ha estado ahí: desde una fortaleza con sus diferentes líneas de defensa a un sistema antimalware donde habrá unas barreras en pre-ejecución, detectando vía firmas (si ya lo conocemos, directamente lo anulamos), pasando por IA por si fuese algo novedoso, pero no debe terminar ahí, deberemos tener barreras en post-ejecución, donde detectar el comportamiento, ver si hay intento de cifrar, si se usan técnicas de explotación (independientemente de la herramienta con la que ha sido creado), e incluso, cuando todo falla, si hay empleo de técnicas típicamente utilizadas para ganar persistencia y empezar una propagación, es decir, desde migraciones de procesos, elevación de privilegios, etc…
Con todo ello, además se introducir las capacidades forenses híbridas, basadas en tecnologías cloud, para así, no sólo detectar una amenaza, sino también comprenderla y actuar de forma reactiva, pero sobre todo, a través de un sistema fácil de utilizar y rápido (de otro modo, no habría proactividad, sino estaríamos ante el sistema reactivo “tradicional”).
Con todo ello, a día de hoy, la industria sigue con su adaptación, con tecnologías que permiten detectar lo no conocido y, en caso que ocurra lo peor, detectar rápidamente al intruso para aprender de él y evitar que vuelva a suceder."
Más información