Utilizar una analítica de datos especializada en el análisis del comportamiento de las aplicaciones, los usuarios y los endpoints puede suponer una enorme ventaja frente a los ciberatacantes. Gracias a ello, se pueden encontrar comportamientos anómalos que permite a las organizaciones anticiparse a futuros ciberataques.

Estos modelos de estudio de comportamiento han demostrado ser los más eficientes frente a amenazas cada vez más complejas y coordinadas. Por este motivo, están incrementándose los esfuerzos de innovación de la comunidad de ciberseguridad en técnicas y herramientas que estudian esos patrones.

Ciberatacantes como pentesters_

Una de las herramientas más novedosas en este ámbito la han desarrollado investigadores de la Universidad de Texas en Dallas, con el apoyo de organismos de Defensa y gubernamentales de EEUU: se trata de DEEP-Dig (DEcEPtion DIGging). En su estudio “Improving Intrusion Detectors by Crook-Sourcing” explican que mediante este método, los ciberatacantes son desviados sin saberlo a un site que actúa como señuelo y simula ser su legítimo objetivo, como un servidor común de la organización.

Sin embargo, este señuelo no solo sirve para desviar los ciberataques del objetivo protegido, sino que también utiliza todos los datos y patrones que han utilizado para construir modelos de comportamiento. Así, pueden sortear algunas de las dificultades con las que se encuentran otros modelos de Machine Learning más convencionales aplicados a sistemas de detección, como la falta de suficientes datos detallados y categorizados de cada ciberataque y su origen. Además, pueden establecer modelos más fiables y precisos. Y todo ello, a partir de unos ciberatacantes que en realidad están siendo utilizados como pentesters, es decir, como si fueran actores atacantes en una simulación para estudiar su comportamiento.

deep-dig-metodo

Honeypots: el cebo_

En realidad, el uso de señuelos contra los ciberatacantes no es algo nuevo en ciberseguridad. DEEP-Dig utiliza técnicas similares a los honeypots, que también emplea como cebos a elementos de los sistemas o redes que simulan ser legítimos para los ciberatacantes. Estas estrategias se pueden categorizar de diferentes maneras, pero en función de su finalidad y método de despliegue se pueden dividir en:

  • Production honeypots: son los más sencillos de implementar y desplegar. Se sitúan dentro de la red de la organización con el fin principal de desviar o ralentizar los ciberataques a otros elementos más sensibles. Como su principal finalidad es de protección, no tienden a recopilar gran cantidad de información de los ciberataques y los ciberatacantes.
  • Research honeypots: su cometido principal es recopilar información de los métodos y tácticas de los cibertatacantes. Por eso, son mucho más complejos y por ello prácticamente se circunscriben a grandes organizaciones, instituciones universitarias, departamentos de Defensa y Estados. DEEP-Dig, por su desarrollo académico y gubernamental, encaja bajo esta categoría.

También cabe señalar que los honeypots cuentan con algunas desventajas: los más complejos tienen un alto coste de despliegue y por otro lado, están diseñados desde su inicio para recibir, detectar y/o analizar ciberataques a su sistema o red señuelo. Esto implica que son ciegos ante ciberataques a otros sistemas de la organización que son legítimos y que pueden ser muy vulnerables. Por ello, para una compañía, los honeypots deben constituir simplemente un elemento más, aunque útil, de una estrategia integral de ciberseguridad.

Pero para que los CISO puedan implementar dicha estrategia de manera completa y eficaz,  deben poder contar con herramientas que detecten e investiguen los ciberataques en todos sus endpoints y también, con soluciones que se sirvan del conocimiento de la comunidad de ciberseguridad.

Así funciona Cytomic Orion con su estudio detallado de patrones de comportamiento, pero sin limitarse a sus propias fuentes: Cytomic cuenta con alianzas con entidades organizaciones internacionales como el CCN o Cyber Threat Alliance, con los que se intercambian indicadores de amenazas (IOA y IOC), además de trabajar también con herramientas colaborativas como los Jupyter Notebooks.