RSA Conference 2023
Hace unas semanas tenía lugar uno de los encuentros más esperados dentro del calendario de conferencias de ciberseguridad.
La RSA Conference 2023 nos brindaba, durante tres días en el Moscone Center de la ciudad de San Francisco (EEUU), los debates más actuales en la industria de la ciberseguridad. Allí se citaron los profesionales más brillantes y destacados del sector para tratar acerca de las últimas tendencias, innovaciones y desafíos a los que nos enfrentamos para poder combatir el cibercrimen.
Aunque todavía no existen cifras exactas, se habla de 50.000 participantes de todo el mundo y de más de 700 speakers, con una agenda que comprende desde el análisis de amenazas, leyes de privacidad, riesgos en infraestructuras críticas, hasta la política de ciberseguridad de distintos países.
“Cada nueva ola de tecnología es más grande, más rápida, y más disruptiva que las anteriores”. Rohit Ghai - CEO de RSA Security
Colaboración, la clave para combatir el cibercrimen
Este año, el lema de la conferencia ha sido “Strong Together”. Una frase muy acertada, teniendo en cuenta el momento en el que se encuentra el mundo de la ciberseguridad.
La escala y la eficiencia logradas por los threat actors hacen que debamos mejorar, más si cabe, nuestra labor de protección. Para salir victoriosos en esta guerra asimétrica, los gobiernos, la industria y otros socios del ecosistema de la ciberseguridad, han entendido que solo trabajando de forma conjunta se pueden obtener mejores resultados.
“Tienes que vencernos a todos, para vencer a uno de nosotros. Juntos somos más fuertes”
La estrategia de colaboración entre todos los actores del sector de la ciberseguridad se ha convertido en el pilar clave para la lucha contra el cibercrimen. Por ello, la colaboración entre todas las partes, junto con la IA, fueron los temas más abordados del congreso.
Inteligencia Artificial
No cabe duda de que la IA (Inteligencia Artificial) es tendencia y así se ha manifestado en gran parte de las conversaciones de los asistentes.
Así lo demostraron durante el congreso grandes fabricantes como Cisco, Google, IBM, Tenable, entre otros, que anunciaron a lo largo de los tres días del congreso, sus productos de seguridad integrados con IA.
Según palabras de M.K Palmore, miembro de la junta de Google Cloud: “todavía no creo que hayamos visto todo lo que va a cambiar e impactar la IA en la industria de ciberseguridad”.
Google Cloud Security AI Workbench
Google quiso aprovechar este evento para presentar Google Cloud Security AI Workbench, una nueva plataforma de seguridad asistida por una Inteligencia Artificial generativa, con la que los clientes podrán abordar los principales retos de ciberseguridad.
El encargado de hacer esta presentación fue Sunil Potti, gerente y vicepresidente de Cloud Security en Google Cloud. Durante la presentación, Potti indicó que Google Security AI Workbench pretende dar respuesta a 3 problemas existentes, hoy en día, en la industria de la ciberseguridad: la “sobrecarga de amenazas” existente; la complejidad del manejo de las herramientas; y la necesidad de personal cualificado.
VirusTotal, liderada por el español, Bernardo Quintero, también jugará un papel protagonista en esta nueva plataforma cloud de Google. VirusTotal, a través de Sec-PaLM ofrecerá un nuevo producto llamado Code Insight.
Esta nueva funcionalidad, enfocada al análisis de malware, permite obtener información fácilmente interpretable por los usuarios antes de realizar un análisis en mayor profundidad. Es decir, los desarrolladores han conseguido que la IA sea capaz de leer, resumir y entender el código. Según palabras de Bernardo Quintero, se trata de una nueva funcionalidad pensada para que expertos y analistas de seguridad puedan mejorar su capacidad de detectar y mitigar amenazas potenciales.
Por ejemplo, esta nueva utilidad, que incorpora a los filtros de búsqueda que VirusTotal ofrece, es capaz de catalogar como malware un script de Powershell que intenta robar las credenciales de Gmail de una víctima y que, sin embargo, no había sido detectado por ningún motor antivirus.
IBM QRadar Security Suite
IBM, otro de los grandes fabricantes, no quiso perder la oportunidad de presentar su solución IBM QRadar Security Suite, con la que pretende unificar el análisis de seguridad, la investigación automatizada y la clasificación de alertas mediante el uso de inteligencia artificial (IA).
Para IBM, QRadar Security Suite es un marco unificado para los SOC (Security Operations Center) nativo en cloud, que amplía las capacidades de detección, investigación y respuesta frente a amenazas.
Fueron muchas las empresas que, como indicábamos anteriormente, quisieron presentar soluciones novedosas que se apoyan en la IA para mejorar sus capacidades. A este respecto, el gigante azul destacó cómo QRadar hace uso de la IA en el día a día de un SOC.
Recomendado por LinkedIn
En el proceso de clasificación, la empresa afirmó que, para priorizar y responder a alertas, la IA de IBM está entrenada con patrones de análisis y respuesta de otros analistas, permitiendo aumentar la fiabilidad en la clasificación, así como mejorar considerablemente los tiempos.
En el caso de la investigación, una vez la amenaza es clasificada, comienza a recabar información para ofrecer a los analistas una línea de tiempo (timeline) y un gráfico del incidente basado en MITRE ATT&CK.
John Dwyer, jefe de investigación de IBM X-Force, indicó: “las organizaciones están comenzando a darse cuenta de que, desde el punto de vista de la seguridad, no hay forma de poder seguir el ritmo y escalar frente al panorama actual de amenazas sin pasar parte de la toma de decisiones a un modelo de IA”.
Ciberseguridad industrial
Los entornos industriales se están transformando cada vez más rápido, adoptando nuevas tecnologías, y avanzando en su carrera hacia la transformación digital. Esto, junto con el recrudecimiento del panorama geopolítico, ha hecho que durante el 2022 los ataques al sector industrial e infraestructuras críticas hayan representado más del 35% de todos los ataques observados, según fuentes del equipo de inteligencia de IBM X-FORCE.
Tanto es así que, durante la RSA 2023, no solo las conversaciones giraban en torno a cómo la IA ha irrumpido en la industria de la ciberseguridad, sino que muchos fabricantes y expertos mostraban su preocupación y trataban de encontrar maneras de luchar contra estas amenazas.
ETHOS
Bajo el paraguas de la RSA 2023, un grupo de líderes en ciberseguridad industrial han presentado la plataforma ETHOS (Emerging Threat Open Sharing), una plataforma tecnológica Open Source, independiente de fabricantes y proveedores que permitirá compartir información anónima sobre amenazas; plataforma compuesta por entidades como 1898 & Co., ABS Group, Claroty, Dragos, Forescout, NetRise, Network Perception, Nozomi Networks, Schneider Electric, Tenable o Waterfall Security, entre otros.
ETHOS se funda con el objetivo de ofrecer a las infraestructuras críticas, una opción neutral para el intercambio de información sobre amenazas. La idea es correlar toda la información recibida por sus miembros para mejorar la protección de todos los sectores industriales y, en especial, de las infraestructuras críticas.
Por ahora, ETHOS está en su fase inicial de desarrollo cooperativo. Según se puede observar en su web, el próximo mes de junio se abrirán las solicitudes para afiliarse.
Según el comunicado de prensa, “ETHOS será capaz de descubrir amenazas emergentes, para las cuales no existe inteligencia o no se conocen patrones de ataque”. De ese modo, se posiciona como entidad sin ánimo de lucro y neutral para mejorar la cooperación entre el sector público y privado, en el ámbito del intercambio de inteligencia de amenazas.
En el ámbito de la ciberseguridad industrial, este no ha sido el único anuncio que se ha realizado en la RSA 2023.
Elite Cyber Defenders
Además de la iniciativa de ETHOS, en la conferencia también se dio a conocer el programa Elite Cyber Defenders.
Empresas como Accenture, IBM o Mandiant anunciaban una iniciativa de colaboración diseñada también con el objetivo de mejorar la protección a infraestructuras críticas.
Dirigido por Nozomi Networks, este programa tiene como objetivo proporcionar a los clientes del sector industrial, así como a entidades gubernamentales de todo el mundo, acceso a herramientas avanzadas, diseñadas específicamente para proteger estas infraestructuras.
Cada participante en el programa está obligado a compartir inteligencia sobre amenazas, colaborar en las investigaciones sobre incidentes de seguridad, identificación de nuevos malware, así como compartir nuevas TTPs empleadas por los threat actors.
Esta noticia llega justo cuando el grupo que llevó a cabo el ataque a la cadena de suministro en el incidente de 3CX anunciaba que también había vulnerado organizaciones de infraestructuras críticas del sector energético.
“Cuando se trata de proteger la infraestructura crítica frente a un ataque, la información precisa y oportuna, la visibilidad completa del sistema y la respuesta de expertos pueden marcar la diferencia en minutos u horas” - Edgar Capdevielle (CEO de Nozomi Networks)
Conclusión
La RSA 2023 nos deja una gran reflexión: “Nuestro futuro digital depende de nuestra capacidad de asociarnos y de aplicar a nuestro favor los avances tecnológicos que se producen en el día a día. Un diálogo continuo es fundamental para el trabajo en equipo y la defensa colectiva".
Cada disrupción de las infraestructuras de los threat actors trae lecciones aprendidas y todos sabemos que, una rápida colaboración entre los equipos encargados de defenderse frente a ciberataques, significa que podemos alinear esfuerzos y ganar competencias, que al final, se traducen en una mayor protección y resiliencia frente a ataques.