La velocidad a la que ha evolucionado la ciberseguridad en la última década ha sorprendido a todos. Diferentes tipos de amenazas y métodos de ataque han estado apareciendo constantemente, atacando aplicaciones web a una velocidad alarmante. Desafortunadamente, los fundamentos del diseño de aplicaciones web no se establecieron teniendo en cuenta la seguridad. Por lo tanto, el diseño disperso y los servidores web continúan planteando desafíos a los profesionales de la ciberseguridad.

Si no se aplican las medidas de seguridad correctas, las amenazas existentes que han existido durante años, infundirán el tiempo de inactividad de la aplicación y sus brechas de datos. Esta es la principal preocupación de los profesionales de la ciberseguridad. Si no podemos protegernos contra los ataques en las aplicaciones web de hoy, ¿cómo lucharemos contra las amenazas desconocidas del mañana?

Los desafíos que vemos hoy en día se ven agravados por el uso de la Inteligencia Artificial (IA) por parte de los ciberdelincuentes. Los ciberdelincuentes ya tienen un extenso arsenal a su disposición, pero para empeorar las cosas, ahora tienen la capacidad de combinar sus conjuntos de herramientas existentes con el poder desconocido de la IA.

What will you do with it?

AI y Machine Learning (ML), creado para mejorar vidas, ahora se utiliza para ingresar en aplicaciones web. Este tipo de ataque automatizado basado en las máquinas, nunca se ha visto antes. El aumento de los ataques basados ​​en máquinas no es algo que deba abordarse en un futuro lejano, es un tipo de ataque que los profesionales de la seguridad debemos preparar desde hoy.

Desde el primer día, los profesionales de la ciberseguridad deben defenderse contra este tipo desconocido de ataques, de una máquina lanzando ataques contra  aplicaciones. ¿Cual es el punto más rápido y fácil para comenzar esta estrategia de defensa? La respuesta es; justo en el nivel de la aplicación web.

¿Qué es la inteligencia artificial?

La inteligencia artificial es parte de una amplia rama de la informática, que implica la creación de sistemas que puedan funcionar de forma autónoma e independiente.

El sistema más complejo conocido por el hombre es el cerebro humano, y en el pasado, los sistemas más poderosos no podían igualar su sofisticación. Su objetivo es crear "una mente" que piense exactamente de la misma manera que la mente humana. ¿La inteligencia de la raza humana será igualada por la inteligencia de una máquina?

El campo de la IA se ha expandido rápidamente en los últimos años. Nadie sabe con precisión el efecto, por ejemplo, en las aplicaciones web una vez que los piratas informáticos lo tengan en sus manos con el fin de causar daño.

Inteligencia Artificial en DDoS

La inteligencia artificial combinada con DDoS está cambiando el juego y estamos empezando a ver el lanzamiento de ataques DDoS basados ​​en AI. Si las pilas de aplicaciones existentes y las infraestructuras subyacentes no son capaces de lidiar de manera eficiente con los DDoS existentes, ¿cómo podemos esperar que estas aplicaciones web soporten un tipo de ataque DDoS automatizado basado en máquinas mejoradas y autónomas?

Antes de abordar algunas de las soluciones inmediatas, debemos proteger las aplicaciones web. Por lo tanto, examinemos primero la evolución de los DDoS y la rapidez con la que ha evolucionado pasando del atacante humano a un atacante basado en máquinas.

La evolución de DDoS

Imagen Evolución Ataques DDoS de Arbor

A principios de la década de 2000, se creaban scripts de shell simples para eliminar una sola página web. Por lo general, se utilizaba una firma de ataque de una sola dirección IP de origen. Esto se conoció como un ataque clásico basado en Bot, que fue efectivo para eliminar una sola página web. Sin embargo, este tipo de amenaza necesitaba un humano para lanzar cada ataque individual. Por ejemplo, si deseábamos detener diez aplicaciones web, deberíamos presionar "enter" en el teclado diez veces.

Entonces se empezó a encontrar scripts simples compilados con bucles. Bajo este ataque mejorado, en lugar de teclear cada vez que se quería cerrar una página web, este actor simplemente agregaría un bucle al script. El ataque todavía usaba solo una dirección IP de origen y era conocido como la denegación de servicio clásica (DoS).

Así, el juego del gato y el ratón continuó entre los desarrolladores de aplicaciones web y "los malos". Los parches fueron lanzados rápidamente. Se aplicaron parches a la aplicación web y los servidores web a tiempo, y mientras existiera un buen diseño, se podría evitar este tipo de ataques conocidos.

Finalmente, los atacantes comenzaron a distribuir utilizando múltiples fuentes para lanzar el ataque creando una superficie más grande. Esto se conocía como denegación de servicio distribuido (DDoS). La propagación de malware desde el enfoque manual a un enfoque automático complicó aún más las cosas. La propagación automática de malware fue una evolución importante en DDoS.

Ahora, los ataques de múltiples fuentes podrían propagarse automáticamente sin intervención humana. Fue cuando se comenzó a presenciar ataques automatizados que golpeaban las aplicaciones web con una variedad de tipos de vulnerabilidades.

Los atacantes utilizaron lo que se conocía como servidores de Comand and Control (C&C) para controlar los bots comprometidos. Los servidores de C&C podrían cambiar los vectores de ataque aleatoriamente, por ejemplo, una inundación del protocolo de datagramas de usuario (UDP) a una inundación del protocolo de mensajes de control de Internet (ICMP) o si eso no funcionaba, un ser humano podría intervenir y configurar el C&C para apuntar más arriba en la pila de aplicaciones (Buffer Overflow).

Muchos ataques volumétricos se combinaron con ataques basados ​​en aplicaciones. Los ataques volumétricos golpearon las puertas de la red, lo que provocó un pánico en los equipos de seguridad. Nadie estaba realmente listo para los ataques DDoS. Sin embargo, mientras el ataque DDoS volumétrico de miles de fuentes está llenando los conductos de la red, el ataque más serio basado en la aplicación está bajo el radar, comprometiendo así las valiosas aplicaciones web.

Los ataques volumétricos se pueden combatir de varias maneras y, por lo general, se usan como humo para encubrir un ataque a la aplicación más peligroso.

La introducción de 'ataques por debajo del radar' fue conocida como un ataque de estilo bajo y lento. Un sistema estándar de Firewall o sistema de detección de intrusos (IDS) no está diseñado para capturar este tipo de ataques. Salen completamente fuera del radar de todos los mecanismos de defensa tradicionales. Además, si no se implementa la seguridad de la aplicación correctamente, los ataques podrían pasar desapercibidos durante meses con la aparición de  exfiltración de datos.

El auge de la inteligencia artificial en DDoS

Se produjo la propagación automática del malware y los tipos de vulnerabilidad cambiantes a través de los servidores de C&C, pero aún así, hubo una limitación. Esta limitación fue la necesidad de la intervención humana. El auge de la IA en DDoS despliega una nueva era de ataques que no requiere presencia humana. Hemos entrado en un nuevo mundo de criminalidad cibernética en el que solo sobrevivirán las aplicaciones web más difíciles y mejor diseñadas.

AI DDoS elimina completamente la participación humana. Ahora, tenemos máquinas que atacan aplicaciones.Están completamente automatizados, cambiando los tipos de vulnerabilidad y atacando vectores basados ​​en la respuesta del lado de la defensa.

Si una firma atacante no funciona, la máquina piensa por sí misma y puede cambiar a una firma diferente. Todo hecho automáticamente, sin intervención humana.

¿Cómo nos preparamos?

La forma más rápida de prepararse para esto ahora es endurecer adecuadamente la pila de aplicaciones al máximo de su capacidad, mientras mantenemos los falsos positivos y negativos a la tasa más baja posible. Para una seguridad efectiva de la aplicación web, necesitamos mecanismos para garantizar un bajo número de falsos positivos mientras se escanea con precisión la aplicación web para detectar los ataques aleatorios que una máquina puede lanzar.

¿Cómo nos preparamos?

La aplicación web es una barrera de entrada para un ataque basado en AI. Las pruebas de seguridad de aplicaciones web tradicionales que se basan en las pruebas de caja negra, no ayudan de ninguna manera. La prueba de caja negra simula el enfoque de un atacante real y la aplicación se prueba desde el exterior hacia adentro sin ningún conocimiento de la estructura interna o la arquitectura de la aplicación. Sin embargo, ahora el atacante no es un humano, es una máquina. Más potente y más peligroso.

La prueba de caja negra no controlará cómo se comporta el código durante la ejecución, y el análisis del código fuente no siempre entenderá qué sucede cuando el código está en ejecución. Por sí mismo, no ofrece mucha ayuda en la preparación para un ataque de aplicación basado en IA que está cambiando los vectores y los tipos de vulnerabilidad de forma aleatoria.

Se requiere una combinación de pruebas tanto de caja negra como de caja blanca para mantener los falsos positivos en una tasa baja.

Como una máquina basada en la IA está afectando a su aplicación con parámetros de ataque que cambian automáticamente, las nuevas tecnologías nos puede ayudar a mantener a nuestro equipo calmado con la reducción de las tasas de falsos positivos y falsos negativos a una tasa más baja.

Para defendernos de un ataque automatizado basado en máquinas, los profesionales de la ciberseguridad deben responder con un mecanismo de defensa automatizado. Los resultados del escaneo de vulnerabilidades, eliminan la necesidad de confirmar manualmente las vulnerabilidades detectadas, lo que hace que la aplicación web se encuentre en el camino correcto para protegerse contra los ataques basados ​​en AI.

Teniendo en cuenta el hecho de que el lado atacante se encuentra en una era totalmente automatizada, las pruebas de vulnerabilidad web también deberían convertirse en un proceso automatizado.

Conclusión

Desde la última década, hemos sido testigos de ataques DDoS que van desde secuencias de comandos simples con vectores individuales hasta ahora, con ataques totalmente automatizado basados en el poder de la IA cuyo poder reside en la  mecanización.

El atacante que se base en la IA irá a por las aplicaciones web, ya que son más fáciles de comprometer. ¿Cómo debemos actuar?, Mantener los falsos negativos y falsos positivos a una tasa baja, mientras que también se escanéa con precisión las vulnerabilidades como paso inmediato y esencial a tomar como requisito desde ya, contra el futuro desconocido del uso de Inteligencia Artificial por parte de los ciberatacantes.