La ciberseguridad se ha convertido en una de las principales preocupaciones de seguridad a nivel nacional, con miles de millones de personas afectadas por brechas de seguridad el año pasado. Tanto el gobierno como las empresas están invirtiendo cada vez más tiempo y dinero en defenderse de estas amenazas.
Investigadores del Laboratorio de Investigación Corporativa del Ejército de los Estados Unidos, conocido como ARL, y de la Universidad de Towson, podrían haber identificado una nueva forma de mejorar la seguridad de las redes. Muchos sistemas de ciberseguridad utilizan la detección de intrusiones en redes distribuidas, lo que permite a un pequeño número de analistas altamente capacitados monitorear varias redes al mismo tiempo, reduciendo costos y aprovechando de manera más eficiente la experiencia limitada en ciberseguridad. Sin embargo, este enfoque requiere que los datos se transmitan desde los sensores de detección de intrusiones en la red defendida hasta los servidores de análisis centralizados.
Según los investigadores, transmitir todos los datos capturados por los sensores requiere demasiado ancho de banda. Por esta razón, la mayoría de los sistemas de detección de intrusiones en redes distribuidas solo envían alertas o resúmenes de actividades al analista de seguridad. Con solo resúmenes, los ciberataques pueden pasar desapercibidos porque el analista no tiene suficiente información para comprender la actividad de la red o, alternativamente, se puede perder tiempo persiguiendo falsos positivos.
En una investigación presentada en la 10ª Conferencia Internacional de Complejidad, Informática y Cibernética, los científicos desarrollaron una herramienta que detiene la transmisión de tráfico de red después de un número determinado de mensajes transmitidos. La hipótesis de los investigadores era que la actividad maliciosa en la red se manifestaría temprano en el proceso de transmisión. El tráfico de red comprimido resultante se analizó y se comparó con el análisis realizado en el tráfico de red original. Como se sospechaba, los investigadores encontraron que los ciberataques a menudo manifiestan su malicia temprano en el proceso de transmisión. Cuando el equipo identificó actividad maliciosa más tarde en el proceso de transmisión, generalmente no era la primera ocurrencia de actividad maliciosa en ese flujo de red.
Esta nueva forma de detectar actividades maliciosas en las redes puede ser un gran avance en la mejora de la ciberseguridad. Al detener la transmisión de tráfico después de un número determinado de mensajes, se puede reducir la cantidad de datos transmitidos sin perder la capacidad de detectar y analizar actividades maliciosas. Esto permitirá a los analistas de seguridad tener una visión más clara de la actividad de la red y tomar medidas rápidas y efectivas para protegerla.
En resumen, la ciberseguridad es un tema de gran importancia en la actualidad y es fundamental encontrar nuevas formas de mejorar la detección de actividades maliciosas en las redes. La investigación presentada por los científicos del ARL y la Universidad de Towson muestra un enfoque prometedor al detener la transmisión de tráfico después de un número determinado de mensajes. Este enfoque puede ayudar a los analistas de seguridad a detectar y responder de manera más eficiente a los ciberataques, protegiendo así las redes y la información confidencial.
