Cómo la ciberseguridad está transformando el mercado de TI (parte 3)

A pesar del crecimiento anual de los presupuestos y la variedad de herramientas de seguridad de la información, cada año recibimos solo un aumento múltiple en las estadísticas sobre el número de incidentes, un aumento en el volumen de fugas y correos electrónicos de phishing, etc. ¿Por qué sucede esto? Es posible que la creciente complejidad y tamaño de los sistemas de información afecte negativamente la eficacia de los controles de seguridad "superpuestos". En la tercera parte de una serie de artículos, hablaremos de la seguridad como parte integral de la arquitectura de los propios sistemas de software y redes y de la asimetría de la información, que en el futuro puede convertir los enfoques en protección "técnica".

Introducción

El enfoque clásico de la seguridad de la información, que tomó forma en los primeros años de Internet, se reflejó en el modelo basado en el perímetro. Con este enfoque, la empresa contaba con un segmento interno seguro donde se ubicaban las estaciones de trabajo confiables y un segmento externo con recursos no confiables, cuyo acceso estaba controlado. Se colocó un firewall entre los segmentos internos y externos, que determinó las reglas para trabajar con el mundo exterior. Este enfoque resultó rápidamente ineficaz. El aumento en el número de estaciones de trabajo en la red local llevó al hecho de que se volvió casi imposible controlar cada host. Los intentos de monitorear no solo el perímetro, sino también los dispositivos internos han llevado a un enfoque de confianza cero, en el que cada entidad debe identificarse de forma única independientemente del punto de conexión.Las dificultades con la implementación generalizada del enfoque de confianza cero han llevado a un mayor desarrollo de este concepto, que puede denominarse "confianza digital". En el caso de la “confianza digital”, cada dispositivo o cada usuario del sistema tiene ciertos patrones de comportamiento que pueden considerarse “normales”. Por ejemplo, un determinado conjunto de software está instalado en un teléfono inteligente o computadora portátil, que se puede reconocer generando un tráfico específico en la red. Los programas y sitios que abre el usuario también definen patrones específicos de comportamiento. Una desviación pronunciada de estos patrones puede verse como un incidente de seguridad resultante de la suplantación de identidad de usuario / dispositivo o malware.que puede denominarse "confianza digital". En el caso de la “confianza digital”, cada dispositivo o cada usuario del sistema tiene ciertos patrones de comportamiento que pueden considerarse “normales”. Por ejemplo, un determinado conjunto de software está instalado en un teléfono inteligente o computadora portátil, que se puede reconocer generando un tráfico específico en la red. Los programas y sitios que abre el usuario también definen patrones específicos de comportamiento. Una desviación pronunciada de estos patrones puede verse como un incidente de seguridad resultante de la suplantación de identidad de usuario / dispositivo o malware.que puede denominarse "confianza digital". En el caso de la “confianza digital”, cada dispositivo o cada usuario del sistema tiene ciertos patrones de comportamiento que pueden considerarse “normales”. Por ejemplo, un determinado conjunto de software está instalado en un teléfono inteligente o computadora portátil, que se puede reconocer generando un tráfico específico en la red. Los programas y sitios que abre el usuario también definen patrones específicos de comportamiento. Una desviación pronunciada de estos patrones puede verse como un incidente de seguridad resultante de la suplantación de identidad de usuario / dispositivo o malware.que puede ser reconocido por la generación de tráfico específico en la red. Los programas y sitios que abre el usuario también definen patrones específicos de comportamiento. Una desviación pronunciada de estos patrones puede verse como un incidente de seguridad resultante de la suplantación de identidad de usuario / dispositivo o malware.que puede ser reconocido por la generación de tráfico específico en la red. Los programas y sitios que abre el usuario también definen patrones específicos de comportamiento. Una desviación pronunciada de estos patrones puede verse como un incidente de seguridad resultante de la suplantación de identidad de usuario / dispositivo o malware.



Esta evolución de los enfoques de la seguridad de la red refleja el hecho general de cambiar los métodos de protección debido al inevitable aumento de la complejidad de los sistemas de información. Sin embargo, la brecha cada vez mayor entre el gasto en seguridad de la información y los incidentes sugiere que el paradigma de la ciberseguridad debe cambiar. Los investigadores de todo el mundo se inclinan cada vez más por la idea de que tal cambio de paradigma ocurrirá en el área de asimetría de información que existe entre el atacante y el defensor de los sistemas de información. La asimetría refleja el hecho de que el tiempo que le toma a un atacante investigar un sistema de información excede el tiempo para diseñarlo, así como el hecho de que un atacante necesita encontrar e implementar una sola vulnerabilidad, mientras que al diseñarla es necesario encontrarlas todas.

Hacia la eliminación de la asimetría de información

Dado que cualquier ataque a un sistema de información siempre está precedido por un proceso de reconocimiento, la idea de hacer que este proceso sea lo más difícil posible para un atacante parece obvia. Por supuesto, puede bloquear el acceso a ciertos procesos y dispositivos y, por lo tanto, protegerlos de la investigación externa, pero la práctica ha demostrado que este enfoque no siempre es efectivo. La idea de cambiar continuamente los parámetros de un sistema de información ha ganado mucha más popularidad. Como resultado, la información obtenida por el atacante se vuelve irrelevante en el siguiente momento en el tiempo. Este enfoque se llamó Moving Target Defense (MTD - defensa basada en objetivos en movimiento).



Es de destacar el aumento del interés en el tema, que puede rastrearse hasta el número de publicaciones en las principales bases de datos sobre el tema MTD. El principal avance ocurrió después de 2011, cuando en Estados Unidos el tema MTD se incluyó en el número de áreas prioritarias para el desarrollo de tecnologías de seguridad estatal . Después de eso, una gran cantidad de fondos de subvenciones sobre el tema MTD fueron asignados por varios fondos en los EE. UU. (DARPA) y otros países (la Unión Europea, India, China, etc.). Si en 2011 había 50 publicaciones sobre MTD, en 2017 se publicaron más de 500 de ellas al año. Sin embargo, no lograron un avance tecnológico significativo en los primeros años. Han surgido métodos MTD que se han convertido en el estándar industrial de facto, como la tecnología ASLR, lo que le permite mezclar aleatoriamente las secciones de direcciones utilizadas por la aplicación en la RAM. ASLR ahora se usa en todos los sistemas operativos.



No hay tantos productos de seguridad superpuestos que hayan podido llegar al mercado y empezar a vender. Aquí puede seleccionar Morphisec , que se instala en los puntos finales y puede actuar como una capa para las áreas de memoria utilizadas. La aplicación CryptoMove le permite transformar el secreto cifrándolo y distribuyéndolo a múltiples nodos usando MTD.



Las soluciones de MTD para ocultar los parámetros y direcciones de la red local se han vuelto aún menos populares. La mayoría de estos desarrollos permanecieron en estudios teóricos y no se reflejaron en los productos de los grandes proveedores de seguridad de la información. A pesar de que las tecnologías MTD se han convertido en estándares de facto para trabajar con memoria, no se logró una protección completa de los sistemas de información de acuerdo con la metodología MTD. La razón de la derrota de una teoría tan hermosa con efectividad objetivamente probada probablemente no se encuentre en su ineficacia, sino en la dificultad de adaptar los métodos MTD a sistemas reales. El sistema no puede ser completamente único. Algunos componentes de la aplicación deben comprender a otros, los protocolos de comunicación deben ser universales y la estructura del software debe ser reconocible para el consumidor.A lo largo de la historia del desarrollo de TI, siguieron el camino de la estandarización y máxima unificación de procesos, y este mismo camino los condujo a los problemas de ciberseguridad que tenemos ahora. La conclusión clave del problema de la asimetría de la información es la necesidad de cambiar el paradigma de la unidad de la estructura funcional de los sistemas de información y pasar al principio de máxima aleatorización de sus parámetros. Como resultado, el propio sistema, debido a su singularidad, adquirirá "inmunidad" a los ataques y permitirá cerrar la brecha en la asimetría de información.Como resultado, el propio sistema, debido a su singularidad, adquirirá "inmunidad" a los ataques y permitirá cerrar la brecha en la asimetría de información.Como resultado, el propio sistema, debido a su singularidad, adquirirá "inmunidad" a los ataques y permitirá cerrar la brecha en la asimetría de información.



La mayoría de los métodos MTD han tenido dificultades para distinguirlos como soluciones de productos específicos. Por ejemplo, muchos desarrollos se han centrado en la aleatorización para proteger contra la inyección de código. El método más simple, pero al mismo tiempo efectivo, es la aleatorización de los comandos de código interpretados. Por ejemplo, se agrega un número aleatorio a los comandos SQL clásicos, sin el cual el intérprete no lo entiende como un comando. Digamos que un comando INSERT se interpreta como un comando INSERT con solo un código único que es conocido por el intérprete: INSERT853491. En este caso, será imposible realizar una inyección SQL, incluso si existe una vulnerabilidad real debido a la falta de validación de parámetros. Aunque este método es efectivo, obviamente no se puede implementar con características de seguridad "superpuestas", pero debe ser parte de la lógica del servidor de la base de datos.Otro enfoque importante para la aleatorización del sistema es la diversificación de códigos.

Diversificación del código del programa

La diversificación de código implica que podemos clonar funcionalmente un programa, mientras modificamos el código del programa. Hay una gran cantidad de investigación sobre este tema, pero la mayor parte de este trabajo se ha mantenido a nivel de I + D, sin convertirse en soluciones comercialmente interesantes. Por regla general, se trata de programas que permiten "aumentar" el número de circuitos lógicos con una adición finita de cero de funcionalidad o realizar una sustitución de plantillas de determinadas secciones de código. Sin embargo, al final, el programa diversificado a menudo tenía las mismas vulnerabilidades que el original.



El principal problema con este enfoque es que el código ya escrito se alimenta a la entrada del diversificador. Un diversificador no puede "entender" el significado de ciertas construcciones de software, por lo tanto, no es capaz de diversificarlas verdaderamente, sino que solo reemplaza un fragmento de código en una plantilla por otro o genera código "inútil" adicional.



Para resolver radicalmente el problema de la diversificación, es necesario lograr la generación automática de código de aplicación. Si podemos eliminar el trabajo del programador de escribir comandos específicos y construcciones algorítmicas, entonces resolveremos el problema de la diversificación. La generación automática de código asume que puede crear un programa en un nivel superior, por ejemplo, con una lista de requisitos funcionales o relaciones gráficas, y el código, a su vez, se generará automáticamente para esta construcción.



Hay varios enfoques para la generación de código que han ganado popularidad en los últimos años.

• Generative program. (metaprogramming). , , , , . . (run-time) (compile-time) .
• Source code generation (SCG). SCG , UML-. — , . . SCG Scaffolding — -, .
• Low-code development platform (LCDP). ; «», . 4- (fourth-generation programming language, 4GL), — C++, Python, Ruby . ( , 4GL 3GL). AI- en la generación automática de código, pero la mayoría de ellos están destinados a resolver tareas altamente especializadas, como corregir errores automáticamente mediante un rastreador de errores o encontrar y eliminar vulnerabilidades conocidas en el código.

Puede surgir una pregunta lógica: ¿qué tiene que ver la seguridad con esto? La revolución en las tecnologías de generación de código finalmente conducirá a una revolución en la ciberseguridad. Si abre la base de datos CVE, puede encontrar que más del 90% de las vulnerabilidades no son errores lógicos en el desarrollo de software, sino su implementación específica en el código del programa (un tema controvertido es si las vulnerabilidades de hardware en CVE también se incluyen aquí). Si movemos el desarrollo a un nivel abstracto superior, esto se puede expresar en dos consecuencias:

1. , «». , .
2. . . , . . , , , , .

En consecuencia, el "software" generado, por su singularidad y desconocido para el atacante, elimina la asimetría de información que existía antes. Y este "desenfoque" de la funcionalidad y los parámetros del software crea una barrera infranqueable para un atacante, incluso teniendo en cuenta la presencia de vulnerabilidades en el sistema. Nunca se encontrarán vulnerabilidades debido a la falta de asimetría de información. > Las tecnologías deepfake como amenaza para la seguridad de la información

La nueva realidad de los sistemas de información

Como puede ver, estamos viendo una tendencia a superar la asimetría de información entre el atacante y el defensor de los sistemas de información, que se puede expresar en varias características:

1. Máxima acumulación de pseudoaleatoriedad de desarrollo (modelo de datos, instrucciones de la máquina, funciones, etc.) independientemente de los protocolos externos e interfaces de interacción.
2. Transición a la estructura dinámica de parámetros clave tanto en la etapa de diseño como en la etapa de funcionamiento del sistema de información.

Esto no conducirá a la solución de todos los problemas de ciberseguridad, pero definitivamente hará una transformación significativa del mercado de seguridad de la información.



Aquí enfrentaremos varios cambios clave en la industria:

1. El fin de la era de los virus y antivirus. Si los antivirus alguna vez fueron casi sinónimo de un producto de ciberseguridad, hoy su participación en el mercado ha disminuido significativamente. Si, en última instancia, todas las fallas de software existen solo en el nivel lógico, sin la capacidad de aprovechar los errores de código, entonces el concepto de malware se convertirá en una cosa del pasado. Este será el final de toda una era tecnológica de ciberseguridad y quizás de algunos proveedores que no están estructurando sus negocios en este momento.
2. () . — , . , (AI) (ML) , , . NLP- (NLP — Natural Language Processing, ) , . . , — NLP (PhishNetd-NLP, ). , (Deepfake).
3. . , - «» .
4. , . ( , .), - (Web Application Firewalls), «» «» , ( , Darktrace).

-

Los mercados de seguridad informática y de la información coexisten y se influyen tecnológicamente entre sí. La seguridad es un problema común en los sistemas de información. Ahora existe un mercado de ciberseguridad separado solo porque se imponen la mayoría de las herramientas de ciberseguridad, pero esta tendencia puede cambiar en un futuro próximo. Solo los sistemas para controlar el comportamiento de los usuarios en la empresa (DLP, monitoreo de actividad, UEBA, etc.) pueden sentirse más seguros: es probable que mantengan su mercado "separado", mientras que los sistemas para controlar ataques a la red, pruebas de penetración, análisis de código, etc. se transforman junto con la superación de la asimetría de información del diseño de sistemas de información.



Los cambios más importantes se producirán en el ámbito de la codificación. Incluso si en los próximos años no cambiamos a 4GL en desarrollo y no hay una revolución aquí, los principios de diversificación seguirán siendo la regla general, como ahora ASLR es una regla de ese tipo. Y aquí no solo hay bonificaciones obvias asociadas con un aumento en la velocidad de desarrollo (y posiblemente con una disminución en las calificaciones de los desarrolladores), sino también ventajas en el campo de la ciberseguridad. Obtenemos una menor probabilidad de que aparezcan vulnerabilidades como resultado de un error del programador y, además, podemos diversificar el código en un nivel bajo agregando elementos pseudoaleatorios. Por supuesto, esta transición no sucederá rápidamente. El principal obstáculo para la innovación puede ser que dichos fondos no se "impongan" al CI, por lo que es poco probable queque las nuevas empresas y las empresas de alta tecnología serán el motor del progreso.



El segundo componente importante es la diversificación general y la transición a parámetros dinámicos de los sistemas de información. Si, por ejemplo, está diseñando una red de área local con direccionamiento dinámico en IPv6 utilizando la metodología MTD, esto le permite excluir hosts no autorizados para que no se unan a la red. Simplemente serán "rechazados" como un cuerpo extraño en el cuerpo. Del mismo modo, el uso de MTD en otros procesos dificultará cualquier cambio no autorizado en el funcionamiento normal. Esto le permite adquirir algún tipo de inmunidad frente a modificaciones y penetraciones no autorizadas en el sistema.



Cómo esto puede afectar significativamente al mercado de TI:

1. , - , .
2. (open-source) open-source . «algoend»- . open-source — . , :
   
   
   • open-source ( ),
   • open-source , «algoend».
   
   
   , open-source , .
3. AI / NLP . , — , ( ) , . NLP-, — NLP .
4. . , (deception) . deception-, «» , .

Tomados en conjunto, se puede predecir que, a largo plazo, nos alejaremos cada vez más de los problemas de ciberseguridad asociados con errores en el código del programa, hasta que la eliminación de la asimetría de información reduzca este problema a cero. Pero esto no resolverá todos los problemas de ciberseguridad. La seguridad es una especie de elemento de excelencia en la comprensión de los procesos de funcionamiento de SI y la capacidad de controlar estos procesos. Cuanto más complejos son los sistemas, mayor es la probabilidad de presencia de errores lógicos en su funcionamiento y la influencia del factor humano.



Existe una trayectoria muy clara en la que el mercado de la ciberseguridad en el futuro se dividirá entre soluciones de gestión del factor humano, mientras que la seguridad de bajo nivel dejará de existir en forma de protecciones impuestas y se convertirá en parte integral de las soluciones de plataforma IT.



A medida que la ciberseguridad transforma el mercado de TI (Parte 2)

Cómo transformar el mercado de TI de la ciberseguridad (Parte 1)



Artículo original publicado aquí