Black Hat: La clave es la detección post-compromiso, no la prevención
La industria de la ciberseguridad, como se muestra en conferencias importantes como Black Hat, a menudo presenta un frente unificado: los proveedores afirman universalmente asegurar, proteger o defender activos digitales, frecuentemente apalancando la inteligencia artificial. Sin embargo, bajo la superficie de mensajes similares, surge un desafío crítico para las organizaciones que buscan soluciones genuinas: discernir qué ofertas abordan realmente el cambiante panorama de amenazas. Un examen más profundo revela que, si bien la prevención sigue siendo un tema dominante, una preocupación más apremiante para las empresas modernas radica en su capacidad para detectar una brecha que ya ha ocurrido.
El enfoque predominante en “mantener a los atacantes fuera” es indudablemente necesario, pero pasa por alto un cambio fundamental en cómo operan hoy los actores de amenazas sofisticados. Los adversarios contemporáneamente están eludiendo cada vez más las defensas tradicionales al no depender de exploits disruptivos o software malicioso. En cambio, grupos como Scattered Spider, Volt Typhoon y Mango Sandstorm obtienen acceso y escalan el control a través de métodos aparentemente inofensivos. Estos atacantes convierten en armas herramientas y credenciales legítimas, aprovechando tokens de sesión robados o abusando de sistemas de identidad federada para mezclarse sin problemas con la actividad de red autorizada. El compromiso inicial a menudo comienza con un evento que ninguna herramienta de seguridad está diseñada para detener: un inicio de sesión exitoso con credenciales válidas.
Una vez dentro, estos intrusos navegan por los entornos utilizando herramientas de sistema nativas, escalan sus privilegios a través de rutas de identidad confiables, establecen persistencia a través de aplicaciones aparentemente benignas como las aplicaciones OAuth, y exfiltran datos sensibles silenciosamente. Crucialmente, sus métodos no implican exploits manifiestos ni binarios maliciosos. Su comportamiento simplemente parece “pertenecer”. Esto presenta un desafío significativo para los controles de seguridad convencionales, que suelen estar configurados para marcar actividad externa o manifiestamente maliciosa. Debido a que las credenciales son válidas y las rutas de acceso están permitidas, estas acciones a menudo no generan alertas. Además, los registros críticos, si no han sido ya eliminados o alterados por los atacantes, con frecuencia ofrecen una narrativa incompleta. La mayoría de las defensas existentes fueron diseñadas para identificar lo que es anómalo u obviamente hostil, no lo que es legítimo pero mal utilizado. En numerosos incidentes del mundo real, a pesar de contar con herramientas de prevención robustas, estas estaban efectivamente buscando los indicadores equivocados. Los ataques de hoy no se destacan conspicuamente; se mezclan meticulosamente.
Este panorama de amenazas en evolución necesita una recalibración fundamental de la estrategia de seguridad, encapsulada por el principio de “asumir el compromiso”. Esto no es meramente un cambio de mentalidad; debe servir como un filtro práctico para evaluar a los proveedores de ciberseguridad, particularmente cuando cada solución afirma prevenir ataques. Las organizaciones no necesitan convertirse en expertas en cada producto de ciberseguridad disponible. En cambio, el enfoque debe estar en comprender el comportamiento del atacante y luego cuestionar rigurosamente a los proveedores sobre sus capacidades para detectar y responder a dicha actividad.
Las preguntas cruciales para los proveedores deben indagar sobre sus capacidades post-acceso inicial. ¿Cómo detecta una solución la actividad después de que un atacante ha ganado un punto de apoyo? ¿Qué mecanismos existen para identificar el movimiento lateral cuando los atacantes están usando credenciales válidas? ¿Cómo maneja el producto los escenarios en los que el token de sesión de un usuario en una aplicación en la nube ha sido secuestrado? ¿Puede la solución detectar comportamientos sospechosos de manera integral a través de varias capas —entornos de nube, sistemas de identidad e infraestructura de red— o su visibilidad se limita a un solo dominio? Además, ¿qué capacidades de detección y respuesta ofrece el proveedor en situaciones donde los registros críticos han sido comprometidos o eliminados? Si la respuesta de un proveedor promete principalmente un aumento en el ruido de las alertas o se basa completamente en la prevención y el análisis de registros, sugiere que pueden no poseer las herramientas necesarias para ayudar cuando ya ha ocurrido un compromiso.
Cuando una brecha ocurre inevitablemente, el factor decisivo se convierte en la visibilidad, no meramente en la telemetría bruta del sistema, sino en los patrones matizados del comportamiento del atacante, correlacionados sin problemas en entornos dispares. Las soluciones efectivas deben demostrar la capacidad de detectar actividad maliciosa sin depender únicamente de agentes o registros, que pueden ser eludidos o manipulados. Deben identificar comportamientos clave del atacante como el reconocimiento, el abuso de credenciales y la persistencia, y, de manera crucial, correlacionar estas acciones a través de sistemas de identidad, tráfico de red y entornos de nube para construir una imagen completa. Dichas plataformas también deben proporcionar un triaje accionable que reduzca la fatiga de las alertas en lugar de exacerbarla, revelando en última instancia la ruta de ataque completa en lugar de solo eventos aislados. Estas no son capacidades que puedan demostrarse superficialmente; su eficacia se hace evidente en cómo un producto explica y contextualiza los incidentes, diferenciando claramente entre un sistema que simplemente presenta datos y uno que discierne la intención del atacante.
Si bien muchos proveedores continúan vendiendo la promesa de una prevención absoluta de brechas, la realidad es que los atacantes modernos ya no intentan “entrar por la fuerza”; están “iniciando sesión”. Explotan la confianza y, en esencia, ya están dentro. La pregunta crítica para los compradores de ciberseguridad ya no es si un atacante puede ser detenido en el perímetro, sino si sus acciones pueden ser detectadas y comprendidas una vez que han obtenido acceso. Este cambio de paradigma exige un nuevo enfoque en una detección robusta basada en el comportamiento que reconozca y responda a las señales sutiles de compromiso.