¿Cuáles son las principales preocupaciones de seguridad de la NSA?

La seguridad cibernética es importante para los negocios y la industria, pero es aún más crítica para nuestro gobierno, según Rob Joyce, Director del ala de seguridad cibernética de la NSA, quien les dio a los asistentes a la Conferencia RSA un resumen de las principales amenazas y tendencias que la agencia ha identificado en el último año. .

Rusia y Ucrania

Joyce comenzó con lo que dice que «generalmente está en la mente de todos cuando empezamos a hablar de amenazas»: Ucrania y Rusia.

Ofreció algunas estadísticas aleccionadoras. En 2022, hubo más de 2000 ciberataques desde Rusia, más de 300 contra sectores de defensa y seguridad, más de 400 contra infraestructura como energía y finanzas, y más de 500 contra entidades gubernamentales no relacionadas con la defensa. “Eso es más de 10 ataques cibernéticos por día contra una amplia franja de infraestructura”, señaló Joyce. “En 2023, Ucrania informa cada vez más ataques cibernéticos y cinéticos integrados”.

Joyce expuso tres objetivos principales de estos ciberataques. Primero, la recopilación de inteligencia ayuda a llevar a cabo la guerra de disparos cinéticos. En segundo lugar, los ataques disruptivos pueden quebrantar a la sociedad civil. En tercer lugar, hay actividad activista en ambos lados.

En general, tengo preocupaciones sobre [hacktivists defending Ukraine]. Realmente creo que piratear un estado-nación es inherentemente una actividad gubernamental.

“¿Quién está en la pelea? El GRU, la agencia de inteligencia militar de Rusia, es realmente desde el comienzo de la guerra el actor predominante”, dijo Joyce. Señaló que Ucrania ha sido durante mucho tiempo un objetivo, citando (entre otros ataques) la campaña NotPetya de 2017 y Whispergate en 2022, que desfiguraron sitios ucranianos en vísperas de la guerra con el mensaje: “Ten miedo y espera lo peor”.

Joyce señaló que la SVR, la agencia de inteligencia externa de Rusia, es «responsable de recopilar inteligencia y lanzar operaciones encubiertas», dijo. «No nos dimos cuenta de que tenían una organización de piratería». El tercer actor es el FSB, o el servicio de inteligencia interna de Rusia, que a menudo colabora con los hacktivistas o coacciona sus acciones.

Joyce opinó que cuando terminen las hostilidades habrá estudios académicos sobre la situación del hacktivismo. Señaló que Ucrania está reuniendo una fuerza cibernética de reserva lista, y personas en otros países están tomando las armas por Ucrania.

“En general, tengo preocupaciones sobre eso”, dijo Joyce. “Realmente creo que piratear un estado-nación es inherentemente una actividad gubernamental”. Continuó señalando que «el giro final en todo eso es realmente la idea de que los hacktivistas de Rusia son un recurso natural para Rusia».

China: el mayor desafío

China, sin embargo, es el mayor desafío presente y futuro para EE.UU. Joyce lo llamó un país cuyo objetivo es alterar el orden mundial y señaló que China hace planes a largo plazo, apuntando a un futuro estratégico. Una evaluación de 2023 del Director de Inteligencia Nacional calificó a China como «la amenaza de espionaje más amplia, activa y persistente para los EE. UU.». La NSA está de acuerdo.

Joyce caracterizó la postura de seguridad de China como estratégica, ágil, descarada, innovadora y duradera. Hizo referencia a objetivos en computación cuántica, big data, inteligencia artificial, productos farmacéuticos y tecnología militar, y dijo: «Las empresas estadounidenses en esos sectores pueden esperar ser atacadas».

También destacó la promoción de China del control de la información a través de los organismos de normalización. China está sobrerrepresentada en muchos de estos organismos, una ventaja que le permite rechazar la tecnología occidental o los estándares que mejoran la tecnología. “Nosotros en la NSA hemos tenido rechazo en estos organismos simplemente debido a nuestro origen estadounidense”, dijo Joyce, exhortando a los asistentes a que sus empresas se involucren en el proceso de estándares.

Joyce señaló que en un momento las agencias estadounidenses podían contar con que los ciberataques chinos fueran ruidosos y poco sofisticados, pero ese ya no es el caso. Tradecraft ha mejorado y los equipos chinos son expertos en configurar redes ocultas y piratear puntos finales.

En cuanto a llamar a China descarada, Joyce explicó: “Están bien si los atrapan. No hay mucho daño a la reputación por ser atrapado”. También advirtió a los asistentes que si su empresa se ha defendido contra una amenaza persistente avanzada de China, no deben relajarse. “Están regresando”, dijo Joyce. “Esa es la P en Amenaza Persistente Avanzada”.

[AI] no va a reemplazar a las personas en los trabajos, pero las personas que aprenden a usar la IA probablemente reemplazarán a las que no lo hacen.

Los atacantes de seguridad chinos se han aprovechado durante mucho tiempo de las vulnerabilidades conocidas y sin parches. La primera opción en un ataque es encontrar uno de esos en la red de la víctima. Pero los agujeros sin parchear son cada vez más escasos. “Definitivamente estamos impactando a la República Popular China a través de parches y seguridad”, dijo Joyce. “También somos innovadores”.

Como resultado, China se ve obligada a utilizar más ataques de día cero. “Cada año, China organiza una competencia llamada Copa Tianfu(Se abre en una nueva ventana), [which] proporciona a la comunidad de respuesta a vulnerabilidades objetivos para explotar productos comerciales”. Señaló que los participantes son inmensamente exitosos, logrando casi todos los objetivos, y que una ley de 2021 requiere que cualquier ciudadano chino que descubra un día cero lo comparta con el gobierno dentro de dos días.

¿Qué podemos hacer para defender? “En NSA, nuestro enfoque está en la escala”, dijo Joyce. «¿Cómo escalamos contra un adversario que está explotando a escala?» Ofreció un repaso detallado de cómo ha funcionado esa defensa, señalando que al defenderse contra un día cero es importante no alertar al adversario de que eres sabio con él. De lo contrario, si saben que el secreto está a la vista, lo desplegarán masivamente para obtener todos los beneficios que puedan antes de que se desarrollen las defensas.

“El otro gran impulso ahora es la derrota del adversario”, dijo Joyce. “Esa es toda una organización ahora en la NSA. Su trabajo es descubrir cómo hacer que los atacantes pasen un mal rato. ¿Qué podemos hacer para poner arena en los engranajes, para luchar contra ellos, para que no solo tengan la capacidad de seguir intentándolo y intentándolo?

El éxito viene al integrar la inteligencia de amenazas con socios que pueden actuar, como Cyber ​​Command, CISA, el Departamento de Estado, incluso Comercio, Hacienda y el FBI, dijo. Involucrar a uno o todos esos socios asegura que «los adversarios no obtengan tiros libres en los goles».

Inteligencia artificial y aprendizaje automático

Joyce marcó la IA como la gran tendencia de la que todo el mundo habla. “Creo que todos hemos visto la explosión”, dijo Joyce. «Realmente es una explosión tecnológica, no es una palabra de moda».

Desde el punto de vista de la NSA, Joyce dijo que se enfoca en tres cosas: ¿Cómo la van a usar los adversarios? ¿Qué podemos hacer nosotros, como defensores, con él? ¿Y qué se podría hacer de manera maligna a los sistemas que dependen de la IA? ¿Qué podría envenenar el funcionamiento habitual de la IA?

“No espero que alguna habilidad mágica generada por la IA explote todas las cosas”, dijo Joyce. Señaló que los adversarios podrían usar las habilidades de creación de código de la IA para superar a los defensores que no usan la IA. Además, AI hace que el phishing sea más efectivo con mensajes en inglés nativo. Las capacidades de recodificación y refactorización de AI también ayudan a los adversarios a reescribir el código para cambiar su firma.

Los defensores también ganarán. “La IA se muestra realmente prometedora en la capacidad de hacer cosas de memoria a escala”, dijo Joyce. «Escanear cantidades masivas de registros, poder extraer patrones… Es realmente impresionante cómo acelerará y agregará un enfoque similar al de una máquina a enormes pilas de datos».

A medida que las personas comiencen a comprender los modelos de IA, algunos buscarán manipularlos. “Esa es un área abierta para la investigación en este momento”, dijo Joyce. “¿Cómo obtenemos confianza y seguridad en las cosas con las que vamos a empezar a contar?” Joyce concluyó que el futuro de la seguridad está en la automatización y que la IA explotará la automatización. “No va a reemplazar a las personas en los trabajos”, dijo Joyce, “pero las personas que aprenden a usar la IA probablemente reemplacen a las que no lo hacen”.

Terroristas y Asociaciones

Joyce señaló que FISA 702 finaliza a fines de este año. Esa es la regulación gubernamental que permite que la comunidad de inteligencia recopile información sobre personas no estadounidenses fuera de los EE. UU. que usan la infraestructura de los EE. UU., como el correo electrónico. Nacido en los días del contraterrorismo, FISA 702 ha evolucionado para cubrir la ciberseguridad. “Cederemos la ventaja de jugar en casa si la Sección 702 desaparece”, dijo Joyce. Se usa en todo, «desde comprender a los actores del ransomware hasta las personas en las campañas de phishing de los estados nacionales». Joyce expresó su esperanza de que la sección sea reautorizada.

Joyce concluyó argumentando que «nuestro alcance con inteligencia extranjera combinado con el poder de la industria… es una combinación realmente poderosa. Si entendemos una amenaza y podemos proteger una empresa de base industrial de defensa, se convierte en protección para todos nosotros».

“Esto no es solo uno y listo”, agregó. “Las amenazas que enfrentamos evolucionan y cambian. Lo que vemos es que las asociaciones importan, ya sean nuestras asociaciones en el extranjero, asociaciones con la industria o en todo el gobierno de los EE. UU.».

“También estamos contratando”, señaló Joyce.