Etiquetar Archivos: tecnología

Los 3 grandes ingredientes de la ciberseguridad: analizar el pasado, probar el presente y predecir el futuro. Lo demás: relleno.

Cuando se estudia el pasado con detenimiento, se puede formar una imagen detallada y precisa del presente; entonces, la mente analítica del experto (mejor dicho, la mente analítica de muchos expertos) puede avisar -incluso predecir- aspectos futuros. Así es precisamente como nosotros, aquí en K, a menudo podemos adivinar prever con exactitud hacia dónde se dirige el mal digital. También es la forma en la que nos mantenemos al tanto de las últimas tendencias sobre los ciberataques, lo que nos permite desarrollar a tiempo la tecnología necesaria en la lucha contra esas amenazas que están a la vuelta de la esquina. Ha habido ocasiones en las que nos hemos equivocado en esta “profecía cibernética” basada en la experiencia: algunos tipos de ciberataques son bastante difíciles de predecir e identificar, pero esos casos han sido siempre la excepción que confirma la regla. Sí, la mayoría de veces, acertamos de pleno.

Entonces, ¿cómo lo gestionamos? ¿Solo los supercerebritos hacen todos estos análisis y ciberprofecías? En realidad, no. Una gran parte está automatizada. Y esto es algo digno de celebrar: un ser humano, por muy inteligente que sea, no puede competir con la potencia informática, los algoritmos, los robots y la inteligencia artificial el aprendizaje automático. Por supuesto, la inteligencia del ser humano sigue siendo necesaria, pero ¿por qué hacer todo este pesado trabajo solo?

Y precisamente sobre eso voy a hablar en este post, sobre cómo el peso tecnológico y científico nos permite predecir el futuro (pero sin referirnos a algo místico a lo Baba Vanga:).
Permíteme empezar hablando un poco sobre la evolución de nuestra Plataforma de Inteligencia de Amenazas (TIP).

Lo desglosaré como en el título: cómo analizamos el pasado, probamos el presente y luego, con una bola de cristal, predecimos el futuro…

Seguir leyendo:Los 3 grandes ingredientes de la ciberseguridad: analizar el pasado, probar el presente y predecir el futuro. Lo demás: relleno.

Un cambio de paradigma para la seguridad industrial: la inmunización de las fábricas

Diez años es mucho tiempo para el mundo de la ciberseguridad. Si hubiéramos podido echar un vistazo a los próximos diez años entonces y ver lo lejos que llegarían las tecnologías de la ciberseguridad para el 2022, estoy seguro de que nadie lo habría creído. ¡Incluyéndome a mí! Los paradigmas, las teorías, las prácticas, los productos (antivirus, ¿qué es eso?); todo se ha transformado y ha avanzado hasta convertirse en algo completamente distinto.

A su vez, independientemente de lo que hayamos avanzado y a pesar de las promesas vacías de los milagros de la inteligencia artificial y otras modas de pseudociberseguridad, todavía nos enfrentamos a los mismos problemas que existían hace 10 años en la ciberseguridad industrial:

¿Cómo proteger los datos de las miradas indiscretas y de los cambios no autorizados, preservando al mismo tiempo la continuidad de los procesos empresariales?

Es cierto, proteger la confidencialidad, la integridad y la accesibilidad sigue siendo la lucha diaria de la mayoría de los profesionales en ciberseguridad.

Sin importar a dónde vaya, lo “digital” siempre conlleva los mismos problemas. Así ha sido y así será siempre, dado que las ventajas de la digitalización son muy obvias. Incluso los sectores que parecen más conservadores como la construcción de maquinaria industrial, el refinado de petróleo, el transporte o la energía ya se manejan en un entorno plenamente digitalizado desde hace muchos años. Y todo esto está muy bien, pero ¿es seguro?

La eficiencia de las empresas crece considerablemente con el aspecto digital. Por otro lado, todo lo digital puede, y es, hackeado, y de esto hay muchos ejemplos. Existe la gran tentación de adoptar por completo el mundo digital para cosechar sus beneficios; sin embargo, debe hacerse de manera que no sea un proceso en extremo doloroso (léase, con la interrupción de los procesos empresariales). Y aquí es dónde nuestro analgésico especial relativamente nuevo puede ayudar, nuestro KISG 100 (Kaspersky IoT Secure Gateway).

Esta pequeña caja (PVP, un poco más de 1000 euros) se instala entre el equipo industrial (en adelante, la “maquinaria”) y el servidor que recibe varias señales de este equipo. Los datos en estas señales varían: sobre productividad, errores en el sistema, uso de recursos, niveles de vibración, mediciones de las emisiones de CO2/NOx , etc. Pero todo es necesario para contar con un panorama general del proceso de producción y tomar decisiones empresariales bien informadas y razonadas.

Como puedes ver, la caja es pequeña, pero es muy poderosa. Una funcionalidad crítica es que solo da lugar a que se transfieran datos “permitidos”. También permite la transmisión de datos estrictamente en una sola dirección. Por tanto, en un instante, KISG 100 intercepta una mezcla de ataques: man-in-the-middle, man-in-the-cloud, ataques DDoS y muchos más de las amenazas basadas en Internet que no dejan de atacarnos en esta época de auge digital.

Seguir leyendo:Un cambio de paradigma para la seguridad industrial: la inmunización de las fábricas

Album de fotos de Flickr

  • Pamukkale
  • Pamukkale
  • Pamukkale
  • Pamukkale

Instagram Photostream

MLAD: el aprendizaje automático para la detección de anomalías.

Uf. Gracias a Dios se acabó. El año más espantoso conocido por la mayoría de nosotros por fin ha terminado, finito, fertig. Esperemos que, como repetimos todos, 2021 sea mejor, total, no puede ser peor, ¿no?

Durante 10 meses del año pasado, prácticamente todo el mundo estuvo en un estado de shock permanente. Y no me refiero solo a la población mundial; las empresas privadas y las economías nacionales también se vieron muy afectadas. Por desgracia, un campo que no se ha visto afectado en absoluto, sino que se ha beneficiado enormemente de la pandemia, es la ciberdelincuencia. Con la gente encerrada, trabajando desde casa y pasando mucho más tiempo online significaba que había muchas más víctimas potenciales de ciberdelitos listas para el ataque. Y no solo los usuarios individuales, sino también las empresas: con los empleados en casa, muchas redes corporativas fueron atacadas porque no estaban lo suficientemente protegidas. Con las prisas por hacer que todos trabajasen en remoto durante la primavera, no se dio prioridad a la seguridad. En resumen, el status quo digital del mundo entero también se vio gravemente afectado por este virus del infierno.

Como resultado del aumento de la ciberdelincuencia, en particular los ataques dirigidos a las redes corporativas vulnerables, el sector de la ciberseguridad ha estado más activo que nunca. Sí, ¡eso nos incluye a nosotros! El 2020 para nosotros como Kompañía resultó ser de lo más productivo. Por ejemplo, la cantidad de nuevas versiones de nuestras soluciones lanzadas a lo largo del año ha sido impresionante, sobre todo de cara al sector empresarial.

También hemos tenido nuevas versiones en nuestra línea de soluciones de ciberseguridad industrial, una de las que quiero hablar hoy: una tecnología conocida como MLAD. No debe confundirse con los sitios de vídeos divertidos online o con las abreviaturas en inglés de dosis analgésica local mínima y arteria descendente anterior media izquierda. Nuestro MLAD es la abreviatura en inglés de Aprendizaje automático para la detección de anomalías.

Si eres un lector habitual de nuestros blogs, es posible que recuerdes algo sobre esta tecnología nuestra. Tal vez no. De todos modos, aquí te dejo un repaso, por si acaso…

Nuestro MLAD es un sistema que utiliza el aprendizaje automático para analizar los datos de telemetría de las instalaciones industriales y detectar anomalías, ataques o averías.

Imaginemos que tienes una fábrica con miles de sensores instalados, algunos miden la presión, otros la temperatura, otros, cualquier otra cosa. Cada sensor genera un flujo constante de información. Es imposible que un empleado lleve un registro de todos esos flujos, pero para el aprendizaje automático, es un paseo. Habiendo entrenado preliminarmente una red neuronal, MLAD puede, basándose en correlaciones directas o indirectas, detectar que algo anda mal en una determinada sección de la fábrica. Al hacerlo, se pueden evitar daños millonarios o multimillonarios causados ​​por incidentes potenciales que no se cortan de raíz.

Ok, esa es la idea general de lo que hace la tecnología MLAD. Permíteme ahora intentar informar sobre la escala granular del análisis que realiza MLAD utilizando una metáfora médica…

Seguir leyendo:MLAD: el aprendizaje automático para la detección de anomalías.

Introduce tu dirección de e-mail para suscribirte a este blog

Drones, se acabaron los escándalos en los aeropuertos: ¡tenemos la solución!

Desde hace unas semanas, este dispositivo futurista, misterioso, brillante y claramente de alta tecnología, ha complementado el mobiliario minimalista de mi despacho en nuestra sede. Es tan brillante, elegante y posmoderno que cada vez que recibo una visita, algo que no es muy frecuente en los últimos tiempos debido a nuestra política general de teletrabajo, es lo primero que perciben y la primera pregunta siempre es: “¡¿Qué es eso?!”.

¿Es un pájaro, es un avión, es una cámara (en un trípode), es una pistola, es algún tipo de escáner? ¡Caliente, caliente!

Pero antes de contártelo, ¡permíteme que divague!

Seguir leyendo:Drones, se acabaron los escándalos en los aeropuertos: ¡tenemos la solución!

OpenTIP, 2ª temporada: ¡Adelante!

Hace un año, me dirigí a los especialistas de ciberseguridad para informarles de que habíamos desarrollado una nueva herramienta. Nuestro Open Threat Intelligence Portal (OpenTIP) ofrece las mismas herramientas para el análisis de amenazas sofisticadas (o archivos simplemente sospechosos) que usan nuestros ciberninjas del equipo GReAT y ahora muchas personas la utilizan también y analizan miles de archivos al mes.

Pero han cambiado muchas cosas este último año; ahora casi todo el mundo trabaja en remoto debido al coronavirus, lo que, a su vez, ha dificultado la vida de los expertos en ciberseguridad, ya que se ha vuelto mucho más complicado preservar la seguridad de las redes corporativas. Por lo que, si el tiempo ya era valioso antes del COVID-19, ahora lo es más aún y la solicitud más demandada por parte de nuestros usuarios más sofisticados es simple y directa: “Por favor, concedednos acceso a la API e incrementad los límites de velocidad”.

Tú lo pides y nosotros cumplimos.

Nueva página de inicio de Open Threat Intelligence Portal

La nueva versión de OpenTIP ofrece la posibilidad de registro. Recomiendo que los visitantes recurrentes se registren, ya que, si lo hacen, tendrán acceso a una buena parte del Threat Intelligence Portal de pago.

Seguir leyendo:OpenTIP, 2ª temporada: ¡Adelante!

Ciberseguridad: la nueva dimensión de la calidad del automóvil

Parece que mucha gente piensa que los coches del siglo XXI son dispositivos mecánicos. Sí, se ha añadido algo de electrónica para esto y aquello, en algunos más que en otros, pero, aun así, al final del día, se trata de un trabajo de ingeniería mecánica: chasis, motor, ruedas, volante, pedales… La electrónica, “ordenadores” incluso, simplemente ayudan a toda la parte mecánica. Deben hacerlo; después de todo, los salpicaderos actuales están repletos de pantallas digitales, sin apenas botones analógicos a la vista.

Bueno, pues permíteme que te diga que ¡eso no es así!

Hoy en día, un coche es básicamente un ordenador especializado, un “cibercerebro”, que controla la mecánica y la electricidad que tradicionalmente asociamos con la palabra “automóvil”: el motor, los frenos, los intermitentes, los limpiaparabrisas, el aire acondicionado y todo lo demás.

Por ejemplo, antes el freno de mano era 100 % mecánico. Lo activabas tirando de él literalmente con tu “mano” (¡¿te lo imaginas?!) y emitía una especia de chirrido. Hoy presionas un botón. 0 % mecánica. 100 % controlado por ordenador. Y así con casi todo.

Ahora bien, la mayoría de la gente piensa que los coches sin conductor los conduce un ordenador. Pero si hay un humano detrás del volante de un automóvil moderno, entonces es el humano quien conduce (no un ordenador), “¡por supuesto, tonto!”.

Pues… ¡eso tampoco es así!

En la mayoría de los coches actuales, la única diferencia entre los que se conducen solos y los que conduce un humano es que, en el último caso, el humano controla los ordenadores a bordo. Mientras que, en el primero, los ordenadores del automóvil están controlados por otra ordenador principal, central y muy inteligente, desarrollado por compañías como Google, Yandex, Baidu y Cognitive Technologies. Este ordenador recibe el destino, observa todo lo que sucede a su alrededor y luego decide cómo navegar hacia él, a qué velocidad, por qué ruta, etc., basándose en algoritmos mega inteligentes, actualizados por nano segundo.

Una breve historia de la digitalización de los vehículos de motor

Entonces, ¿cuándo comenzó el cambio de la mecánica a lo digital?

Algunos expertos en el campo consideran que la informatización de la industria automotriz comenzó en 1955, cuando Chrysler comenzó a ofrecer una radio de transistores como extra opcional en uno de sus modelos. Otros, tal vez pensando que una radio no es realmente una característica automotriz, consideran que fue la introducción de la ignición electrónica, el ABS o los sistemas electrónicos de control del motor lo que marcó el comienzo de la informatización del automóvil (por Pontiac, Chrysler y GM en 1963, 1971 y 1979, respectivamente).

No importa cuándo comenzó, lo que le siguió fue sin duda más de lo mismo: más electrónica; luego las cosas comenzaron a volverse más digitales y ahora la línea entre ambas tecnologías está borrosa. Pero yo sitúo el inicio de la revolución digital en las tecnologías automotrices en febrero de 1986, cuando, en la convención de la Sociedad de Ingenieros de Automoción, la empresa Robert Bosch GmbH presentó al mundo su protocolo de red digital para la comunicación entre los componentes electrónicos de un automóvil: CAN (controlador de red de zona por sus siglas en inglés). Y hay que darles a esos chicos de Bosch lo que les corresponde: y es que todavía hoy este protocolo sigue siendo totalmente relevante, ¡se utiliza en prácticamente todos los vehículos del mundo!

// Un breve resumen sobre la digitalización automotriz posterior a la introducción de CAN:

Los chicos de Bosch nos ofrecieron varios tipos de buses CAN (baja velocidad, alta velocidad, CAN FD), mientras que hoy existe FlexRay (transmisión), LIN (bus de baja velocidad), MOST (multimedia) y, finalmente, Ethernet (hoy 100 Mbps; en el futuro, hasta 1 Gbps). Ahora, cuando se diseñan los coches se aplican varios protocolos de comunicación. Existe la conducción por cable (sistemas eléctricos en lugar de conexiones mecánicas), lo que nos lleva a los pedales de acelerador electrónicos, pedales de freno electrónicos (usados por Toyota, Ford y GM en sus híbridos y electro-móviles desde 1998), frenos de mano electrónicos, cajas de cambios electrónicas y la conducción electrónica (utilizada por primera vez por Infinity en su Q50 en 2014).

Buses e interfaces de BMW

Seguir leyendo:Ciberseguridad: la nueva dimensión de la calidad del automóvil

Aprende a usar las reglas Yara: cómo predecir cisnes negros

Ha pasado mucho, mucho tiempo desde que la humanidad no se enfrentaba a un año como este. No creo haber conocido un año con una concentración tan alta de cisnes negros de diferentes tipos y formas. Y no me refiero a los que tienen plumas. Me refiero a esos sucesos inesperados con consecuencias de gran alcance, según la teoría de Nassim Nicholas Taleb, publicada en el 2007 en su libro El cisne negro: El impacto de lo altamente probable. Uno de los principios más importantes de esta teoría es que, en retrospectiva, los eventos sorprendentes que ya han ocurrido parecen obvios y predecibles; sin embargo, antes de que ocurran, nadie los predice.

Los expertos en ciberseguridad tienen medios para lidiar con la ambigüedad y predecir cisnes negros

Por ejemplo, este espantoso virus que ha tenido al mundo encerrado desde marzo. Resulta que hay toda una extensa familia de coronavíridos, varias docenas de ellos, y se encuentran otros nuevos con regularidad. Los gatos, los perros, los pájaros y los murciélagos los tienen. Los humanos, también. Algunos provocan resfriados comunes. Otros se manifiestan… de otra forma. Entonces, seguramente, necesitamos desarrollar vacunas para todos ellos como lo hemos hecho para otros virus mortales como la viruela, la polio y demás. Claro, pero tener una vacuna no siempre ayuda. Mira la gripe: ¿todavía no hay una vacuna que inocule a las personas después de tantos siglos? Y, de todos modos, incluso para comenzar a desarrollar una vacuna, necesitas saber lo que estás buscando, y eso es aparentemente más arte que ciencia.

Pero ¿por qué te cuento todo esto? Cuál puede ser la relación con… bueno, seguramente se tratará de una curiosidad cibernética o un viaje exótico, ¿verdad? Hoy comenzamos con el primero.

Actualmente, una de las ciberamenazas más peligrosas que existen son las de día cero: vulnerabilidades raras y desconocidas (para la gente de la ciberseguridad y otros) en el software que pueden hacer daños a gran escala, pero que no se suelen descubrir hasta (o a veces después) el momento en el que se explotan.

Sin embargo, los expertos en ciberseguridad tienen medios para lidiar con la ambigüedad y predecir cisnes negros. Y en esta publicación me gustaría hablar sobre uno de ellos: YARA.

Costin Raiu de GReAT examinó los correos electrónicos de Hacking Team y elaboró prácticamente de la nada una regla YARA, que detectó un exploit de día cero

En resumen, YARA ayuda a la investigación y detección de malware identificando archivos que cumplen ciertas condiciones y proporcionando una estrategia de reglas para crear descripciones de familias de malware basadas en patrones textuales o binarios. (Oh, eso suena complicado. A continuación, te lo explico un poco mejor). Por lo tanto, se usa para buscar malware similar identificando patrones. El objetivo es poder decir que ciertos programas maliciosos parecen haber sido creados por las mismas personas, con objetivos similares.

Bien, pasemos a otra metáfora, ya que hablamos de cisne negro, sigamos con el agua: el mar.

Digamos que tu red es el océano, que está lleno de miles de tipos de peces y tú eres un pescador industrial que arroja al océano enormes redes para capturar peces, pero solo ciertas especies de peces (malware creado por grupos particulares de ciberlincuentes) que te resultan interesantes. Ahora bien, las redes de deriva son especiales. Cuentan con compartimentos y en cada uno de ellos solo quedan atrapados peces de una determinada especie (características de malware).

Después, cuando acabas el turno, tienes una gran cantidad de peces, todos compartimentados, algunos de los cuales son peces relativamente nuevos y nunca vistos (nuevas muestras de malware), por lo que no sabes prácticamente nada. Pero pueden estar en un compartimento determinado, por ejemplo “Parecido a Especie (grupo de ciberdelincuentes) X” o “Parecido a Especie (grupo de ciberdelincuentes) Y”.

Este artículo relata un caso que ilustra la metáfora del pez/pesca. En el 2015, nuestro gurú de YARA y director de GReAT, Costin Raiu, se metió en el papel de Sherlock para encontrar un exploit en el software Silverlight de Microsoft. Te recomiendo que leas el artículo, pero, en resumen, lo que hizo Raiu fue examinar cuidadosamente cierta correspondencia de correo electrónico filtrada por ciberdelincuentes para establecer una regla YARA a partir de prácticamente nada, lo que ayudó a encontrar el exploit y así proteger al mundo de un gran problema. (La correspondencia era de una empresa italiana llamada Hacking Team: ¡hackers hackeando a hackers!)

Y, en cuanto a estas reglas YARA…

Los alumnos reciben un certificado al finalizar que confirma su nuevo estado como ninja de YARA. Como nos han dicho antiguos graduados, realmente supone una ayuda para su carrera.

Llevamos años enseñando el arte de crear reglas YARA. Las ciberamenazas que YARA ayuda a descubrir son bastante complejas, por eso siempre impartimos los cursos en persona, sin conexión, y solo para un grupo reducido de los mejores investigadores de ciberseguridad. Por supuesto, desde marzo, las formaciones sin conexión han estado complicadas debido al encierro; sin embargo, la necesidad de educación apenas ha desaparecido, de hecho, no hemos percibido ninguna caída en el interés por nuestros cursos.

Tiene sentido: Los ciberdelincuentes continúan ideando ataques cada vez más sofisticados, incluso aún más tras el encierro. Como consecuencia, mantener nuestros conocimientos especializados sobre YARA para nosotros durante el encierro habría sido todo un error. Por lo tanto, (1) ahora también impartimos nuestra formación en formato online y (2) la hicimos accesible para todos. No es gratis, pero para un curso de este nivel (el más alto), el precio es muy competitivo y está al nivel del mercado.

Aquí está:

Intercepta las APT con YARA como un ninja de nuestro equipo GReAT]

Seguir leyendo:Aprende a usar las reglas Yara: cómo predecir cisnes negros

¿Tus juegos consumen muchos recursos? Descubre nuestro modo de juego.

Hace casi 30 años, en 1993, apareció la primera encarnación del juego de culto para ordenador Doom. Y gracias a él, los pocos (¡imagínate!) propietarios de ordenadores domésticos que había por aquel entonces descubrieron que la mejor forma de protegerse de los monstruos era usar una escopeta y una motosierra.

Nunca he sido un gran aficionado a los juegos (siempre he estado demasiado ocupado y sin tiempo); sin embargo, a veces, después de un largo día de trabajo, los compañeros y yo jugábamos durante una hora más o menos a shooters en primera persona, conectados juntos en nuestra red local. Incluso recuerdo los campeonatos empresariales de Duke Nukem: cuyas tablas de resultados debatíamos durante el almuerzo en la cantina, ¡e incluso hacíamos apuestas sobre el ganador! Por tanto, los juegos nunca han estado muy lejos.

Mientras tanto, apareció nuestro antivirus, completo con chillido de cerdo incluido (activa los subtítulos en inglés, en la parte inferior derecha del vídeo) para asustar incluso al más temible de los monstruos cibernéticos. Los primeros tres lanzamientos salieron bien. Luego vino el cuarto, con una gran cantidad de tecnologías nuevas y complejas contra las ciberamenazas, pero no analizamos su arquitectura lo suficientemente bien, y tampoco la probamos lo suficiente. El problema principal era la forma en que acaparaba los recursos, ralentizando los ordenadores, ya que cada día el software en general y los juegos en particular demandaban más recursos; por lo que lo último que se necesitaba era un antivirus que limitara la actividad y capacidad del procesador y la RAM.

Teníamos que actuar rápido y eso es lo que hicimos. Y luego, solo dos años después, lanzamos nuestra sexta versión, la gran legendaria, que superó a todos en velocidad (y también en confiabilidad y flexibilidad). Y durante los últimos 15 años, nuestras soluciones se han situado entre las mejores en rendimiento.

Seguir leyendo:¿Tus juegos consumen muchos recursos? Descubre nuestro modo de juego.

El top 5 de las tecnologías K que nos llevaron al top 100 de las empresas más innovadoras del mundo.

¡Lo hemos vuelto a hacer! Por segunda vez estamos en la Derwent Top 100 Global Innovators, una prestigiosa lista de empresas globales que se elabora en función de sus carteras de patentes. Y hablo de prestigio, porque en la lista nos codeamos con empresas como Amazon, Facebook, Google, Microsoft, Oracle, Symantec y Tencent. Además, la lista no es solo una selección de compañías aparentemente sólidas en cuanto a patentes: se forma a partir del titánico trabajo analítico de Clarivate Analytics, que evalúa a más de 14000 (!) compañías candidatas en todo tipo de criterios, entre los cuales el principal es la tasa de citas, también conocida como “influencia”. Y como si eso no fuera lo suficientemente difícil, en cinco años el requisito de umbral para la inclusión en este Top 100 sobre este criterio ha aumentado un 55 %:

Entrando más en detalle, la tasa de citas es el nivel de influencia de las invenciones en las innovaciones de otras empresas. Para nosotros, es la frecuencia con la que otros inventores nos mencionan en sus patentes. Y que te mencionen formalmente en la patente de otra empresa significa que se te ocurrió algo nuevo, genuinamente innovador y útil, que ayuda a su “algo nuevo, genuinamente innovador y útil”. Por supuesto, un sistema tan establecido para reconocer a otros innovadores no es lugar para aquellos que inventan meras patentes de pacotilla. Por eso ninguno de ellos se acerca a este Top 100. Mientras tanto, nosotros nos encontramos ahí, entre las 100 principales empresas innovadoras del mundo que realmente hacen avanzar el progreso tecnológico.

Vaya, ¡qué bien sienta! Es como una palmada en la espalda por todo nuestro arduo trabajo: un verdadero reconocimiento de las contribuciones que hemos estado haciendo. ¡Viva!

Todavía en una nube y resaltando mi carácter curioso, me pregunté serían nuestras cinco tecnologías patentadas más citadas, las más influyentes. Así que eché un vistazo y esto es lo que encontré…

5o puesto con 160 citas: US8042184B1 – “Análisis rápido del flujo de datos para detectar la presencia de malware”.

Seguir leyendo:El top 5 de las tecnologías K que nos llevaron al top 100 de las empresas más innovadoras del mundo.

Un sistema de alerta temprana (alias, Control de anomalías adaptativo).

Lo más probable es que, si de normal trabajas en una oficina, esta esté todavía bastante vacía o por completo, como la nuestra. En nuestras oficinas centrales, las únicas personas que verás de forma ocasional son los guardias de seguridad y el único ruido que escucharás será el zumbido de los sistemas de refrigeración de nuestros servidores que trabajan a tope, ya que todos están conectados desde casa.

Nunca imaginarías que, sin verlos, nuestras tecnologías, expertos y productos están trabajando las 24 horas, los 7 días de la semana, protegiendo el cibermundo. Y ahí están. Mientras, los chicos malos siguen haciendo de las suyas. Por ello, tenemos un sistema de alerta temprana en nuestra colección de herramientas de ciberprotección. Pero retomaré este tema más adelante…

El papel de un experto en seguridad informática se asemeja en cierto modo al de un guardabosques: atrapar a los cazadores furtivos (malware) y neutralizar la amenaza que representan para los habitantes del bosque, pero, primero tienes que encontrarlos. Por supuesto, puedes esperar a que se dispare el rifle de un cazador furtivo y correr hacia el estruendo, pero eso no excluye la posibilidad de que llegues demasiado tarde y que lo único que puedas hacer sea limpiar el desastre.

Podrías volverte completamente paranoico: colocando sensores y cámaras de vídeo en todo el bosque, pero podrías acabar reaccionando a cualquier susurro (y pronto perderías el sueño y, después, la cabeza). Pero cuando te das cuenta de que los cazadores furtivos han aprendido a esconderse realmente bien, hasta el punto de no dejar rastro de su presencia, queda claro que el aspecto más importante de la seguridad es la capacidad de diferenciar los eventos sospechosos de los normales e inofensivos.

Cada vez son más los cibercazadores furtivos que se camuflan con la ayuda de herramientas y operaciones perfectamente legítimas.

Por ejemplo: abriendo un documento en Microsoft Office, otorgando acceso remoto a un administrador del sistema, iniciando un script en PowerShell y activando un mecanismo de cifrado de datos. Luego está la nueva ola del llamado malware sin archivo, que no deja ni un solo rastro en un disco duro, lo que limita seriamente la efectividad de las estrategias tradicionales de protección.

Algunos ejemplos son (i) el actor de la amenaza Platinum que utilizó tecnologías sin archivo para penetrar en los ordenadores de las organizaciones diplomáticas o, por otro lado, (ii) los documentos de Office con carga maliciosa que se utilizaron para las infecciones por phishing en las operaciones de la APT DarkUniverse; y hay muchos más. Un ejemplo más: el cifrador de ransomware sin archivo “Mailto” (también conocido como Netwalker), que utilizó un script de PowerShell para cargar código malicioso directamente en la memoria de los procesos de confianza del sistema.

Ahora bien, si la protección tradicional no está a la altura, se puede intentar y prohibir a los usuarios una amplia gama de operaciones e introducir políticas estrictas sobre el acceso y el uso del software. Sin embargo, tanto los usuarios como los malos probablemente acabarían encontrando la forma de sortear estas prohibiciones (al igual que pasa con la prohibición del alcohol).

Lo mejor sería encontrar una solución que pueda detectar anomalías en los procesos estándar y que informe al administrador del sistema sobre ellas. Pero lo que es crucial es que esta solución pueda aprender a determinar automáticamente y con precisión el grado de “sospecha” de los procesos en toda su gran variedad, para no atormentar al administrador del sistema con constantes falsos positivos.

Bueno, lo has adivinado, tenemos esa solución: Adaptive Anomaly Control, un servicio basado en tres componentes principales: reglas, estadísticas y excepciones.

Seguir leyendo:Un sistema de alerta temprana (alias, Control de anomalías adaptativo).