Eutimio Fernández, Country Manager para la Península Ibérica de Vectra AI nos habla de la importancia de la Inteligencia Artificial para defender el sector manufacturero de los ataques de ransomware.
La amenaza de ataques de ransomware para los fabricantes no es nada nuevo, la explosión de nuevos dispositivos y datos en la Industria 4.0 ha creado una mayor superficie de ataque para los ciberatacantes. De hecho, la industria manufacturera fue el sector más atacado por el ransomware en 2021. El año pasado fuimos testigos de cómo el fabricante alemán Knauf y Toyota fueron víctimas de ataques de ransomware.
Cuando se trata de defenderse contra el ransomware, uno de los principales problemas para los fabricantes es que el ransomware ha evolucionado y se ha diversificado en los últimos años. Los atacantes han pasado de tácticas simples y totalmente automatizadas que son bastante sencillas de prevenir, a utilizar tácticas más selectivas y sofisticadas. Al mismo tiempo, la mayoría de los equipos de seguridad utilizan las mismas tácticas de siempre para tratar de prevenir el ransomware, un enfoque que ahora está obsoleto.
Es hora de que los fabricantes evolucionen, y eso significa ir más allá de un enfoque preventivo que intente impedir que un atacante de ransomware traspase los muros, y centrarse en cambio en armarse con las herramientas que puedan detectar y detener un ataque en seco. Una cosa es segura: en los extensos entornos informáticos actuales, la inteligencia artificial (IA) desempeñará un papel decisivo en la lucha contra el ransomware.
Una amenaza que se diversifica
Las primeras formas de ransomware funcionaban con el piloto automático y seguían un sencillo modelo de negocio: infectar tantos ordenadores como fuera posible, porque al menos una parte de las víctimas pagaría para recuperar sus archivos. Este tipo de ransomware pronto evolucionó para buscar y cifrar unidades de red enteras, con la lógica de que aumenta la probabilidad de bloquear algo sin lo que la víctima no puede vivir. Esta evolución inicial también hizo que los atacantes empezaran a dirigirse a organizaciones, como empresas manufactureras, en lugar de a personas individuales, ya que las empresas son más propensas a pagar rescates más elevados para recuperar archivos críticos.
A partir de aquí, el ransomware se combinó con gusanos, de modo que ahora podía aterrizar en un solo sistema e infectar rápidamente los sistemas vecinos. Esto supuso un importante paso adelante para los atacantes, ya que sólo era necesario que una víctima cayera en la trampa del correo electrónico de phishing para que los atacantes pudieran propagarse rápidamente a otros miles de equipos. A pesar de haber existido durante muchos años, este tipo de ransomware sigue siendo una amenaza real. Un ejemplo de ello fue el ataque WannaCry en 2017, que bloqueó cientos de miles de ordenadores, mientras que en febrero del año pasado, el gobierno de los Estados Unidos lanzó un plan para proteger el agua de los ciberataques, después de que una instalación de tratamiento de agua de Florida fuera atacada mediante el uso de un software de acceso remoto inactivo para luego intentar envenenar el suministro de agua.
Los atacantes han seguido intensificando su juego y diversificándose, sustituyendo las tácticas automatizadas por métodos más sofisticados y selectivos. Estos ataques suelen requerir semanas de planificación y, tras conseguir un punto de apoyo inicial, los atacantes adaptan manualmente sus movimientos a las particularidades del entorno en el que han irrumpido. Tales tácticas se emplearon en el exitoso ataque de ransomware dirigido a JBS Foods, que fue llevado a cabo por uno de "los grupos de ciberdelincuentes más especializados y sofisticados del mundo", según el FBI.
Junto con la diversificación del ataque en sí, el modelo de negocio del ransomware también se ha ramificado hacia un modelo de franquicia. El franquiciador suministra las herramientas, manuales y demás infraestructura de ataque necesaria, mientras que los franquiciados utilizan estos servicios para llevar a cabo los ataques, enviando un porcentaje del rescate al franquiciador. A todos los efectos, el ransomware se ha convertido en una industria en toda regla; no es de extrañar que las sofisticadas variantes operadas por humanos hayan sido identificadas por Microsoft como "una de las tendencias más impactantes en los ciberataques actuales".
La IA refuerza las filas
Las variantes más conocidas de ransomware pueden bloquearse si los equipos de seguridad tienen acceso a los indicadores de peligro. Incluso los nuevos tipos de ransomware que consiguen eludir las medidas preventivas suelen tener un alcance bastante limitado y pueden superarse con un buen proceso de copia de seguridad y restauración. Contener las variantes de ransomware más rápidas puede ser más difícil, aunque en estos casos, “zero trust” (confianza cero) y otros controles basados en políticas son un arsenal decente para contener los brotes.
Cuando se trata de los ataques de ransomware más selectivos y dirigidos por personas, el éxito ya no depende de las políticas prescriptivas ni de las configuraciones de seguridad reforzadas que se centran en la prevención. Aunque son útiles hasta cierto punto, un atacante suficientemente motivado acabará superándolas. En este caso, la atención debe pasar de intentar evitar lo inevitable a detectar y detener los ataques exitosos lo antes posible, y aquí es donde entra en juego la IA.
Con estimaciones que indican que el tiempo medio de permanencia en un ataque de ransomware es de 43 días, la IA debería desempeñar un papel decisivo dentro del equipo de seguridad para ayudar a eliminar la amenaza. Mientras que un equipo de analistas puede necesitar días o incluso semanas, la IA puede detectar rápidamente -si no inmediatamente- cuándo los atacantes se mueven por los sistemas antes de que se pulse el botón de despliegue del ransomware. Esto se debe a que la IA puede contextualizar y consolidar la amplia variedad de señales y marcadores dejados por los atacantes a medida que se mueven por los sistemas para alcanzar su objetivo. La IA puede reunir toda esta información dispar en una imagen clara, lo que significa que los equipos de seguridad pueden responder eficazmente a las amenazas más críticas.
Conquistar el campo de batalla del ransomware
El ransomware sigue siendo una grave amenaza para los fabricantes y, como demuestran algunos de los incidentes más sonados últimamente, no va a desaparecer pronto. Los equipos de seguridad de las empresas manufactureras deben tomar nota de estos incidentes de ransomware de alto perfil y verlos como un caso de estudio de lo que puede suceder si no están preparados para hacer frente a la amplia variedad de amenazas.
Si una organización es el objetivo de un ataque operado por humanos, no es realista esperar que los analistas de seguridad tengan todos los ángulos cubiertos. Dado que los operadores de ransomware siguen diversificándose, los fabricantes deberían considerar la posibilidad de añadir a su arsenal medios de detección de ransomware basados en IA, de modo que puedan reducir significativamente el tiempo necesario para detectar la amenaza.
AI is everywhere now. Proudly i have an experience in content develovpment AI i am now the Best local house shifting provider in Kerala
ResponderEliminar