Leonardo Carissimi.

En un ecosistema en África del Sur, conviven una población de acacias y otra de antílopes. Los animales se alimentaban de las hojas de los árboles de forma moderada, en equilibrio, hasta que, por razones desconocidas, la población de antílopes creció. Como consecuencia, la demanda de hojas de los árboles también aumentó. Sintiéndose amenazadas, las acacias generaron toxinas en sus hojas, las que fueron letales para los animales.

Este caso va más allá de la tradicional visión de detección de una amenaza y respuesta, presentando un tercer elemento para el análisis: las acacias demostraron una capacidad predictiva. Al analizar el historial de consumo de sus hojas y su capacidad de regeneración, observaron una tendencia de consumo superior a su capacidad de regeneración. La detección de la amenaza no fue “binaria” sino sofisticada, al punto de concluir que la supervivencia de las plantas estaba en riesgo. Ante este análisis, una nueva “arquitectura” de sus hojas (con toxina) fue adoptada.

En el escenario empresarial, las arquitecturas de Tecnología de la Información (TI) de grandes organizaciones son cada día más complejas, e incluso algunas rivalizan con la complejidad de algunos organismos. Por ello, proteger los datos críticos en estos ambientes es una labor cada vez más desafiante: no solo las arquitecturas de seguridad se volvieron complejas, sino que la fluidez del actual paisaje de amenazas, la desaparición de fronteras de red claras, sumados al aumento del número de conexiones dentro y fuera de la empresa aumentan la probabilidad y la velocidad de un ataque.

Muchos analistas y administradores de seguridad ya admiten que no se trata de si un incidente de seguridad va a ocurrir, sino cuándo y cómo será su capacidad de detectar y responder. Por eso algunos ya parten de la premisa que los sistemas están comprometidos y exigen monitoreo continuo, con mecanismos de respuesta automática e inmediata, buscando contener amenazas activas y neutralizar potenciales vectores de ataque.

En esta línea, Gartner prevé que los presupuestos en seguridad en los próximos años deberán enfocarse cada vez más en aspectos de monitoreo y respuestas continuas e inmediatas, y que para 2020, el 60% de los presupuestos de seguridad deberán ser asignados a esta cuestión.

Uno de los approachs para implementar eficazmente este modelo es la Arquitectura de Seguridad Adaptativa (ASA), definida por Gartner con los siguientes pilares:

• Capacidad preventiva: Conjunto de políticas, herramientas y procesos que buscan prevenir la ocurrencia de ataques exitosos. Aunque crezca menos en los próximos años, no hay duda que es importante prevenir. Pero observe la necesidad de modelos de prevención Zero Trust, que pueden ser datos por micro-segmentación definida por software, aumentando la seguridad sin aumentar los costos.

• Capacidades de detección: Controles concebidos para identificar ataques que evadieron de forma exitosa las medidas preventivas. Hoy en día, en esta área son necesarios elementos que van un paso adelante, además de la simple correlación de eventos, incorporando algoritmos de Data Analytics, Machine Learning, detección de estándares y comportamientos que estén fuera de la normalidad.

• Capacidades de respuesta: brindan una forma de responder a la amenaza, ya sea reduciendo la superficie de ataque, disminuyendo su velocidad o actuando en su respuesta, entre otros aspectos. Es relevante es su capacidad de respuesta automática frente a una amenaza. Una buena opción es integrar el sistema de detección con una tecnología dinámica, como la micro-segmentación que permite colocar rápidamente en una red especial de cuarentena un sistema comprometido, evitando el movimiento lateral del atacante o la dispersión del malware en la red.

• Capacidades predictivas: permiten prever ataques, analizar tendencias y pasar de una postura de seguridad reactiva a una proactiva. Como el escenario de amenazas es dinámico y evoluciona de forma rápida, es fundamental una combinación eficaz de las técnicas de detección avanzadas apuntadas arriba, con una sofisticada red de Inteligencia de Amenazas, que integre inteligencia específica del sector económico, suministradas por fabricantes, identificadas por proveedores globales de servicios de monitoreo de seguridad, amenazas cazadas (“threat hunting”) en redes sociales, “dark web”, etc.