A finales del año pasado, ofrecimos un avance de los seis temas más importantes que creemos que estarán a la vanguardia de la ciberseguridad para 2022. Anteriormente, hablamos en profundidad sobre lo que vemos que está sucediendo en el panorama de las amenazas para este año; hoy vamos a profundizar en el tema de la IA (Inteligencia Artificial) en la seguridad.
A veces, parece que la industria de la tecnología funciona a base de bombo y platillo; después de todo, Gartner ha acuñado el término «ciclo de bombo y platillo» para reflejar la vida de una tecnología desde su desarrollo inicial hasta su madurez. En el mundo de la ciberseguridad, la inteligencia artificial está recibiendo más bombo y platillo que cualquier otra tecnología. Casi todos los productos nuevos en este ámbito afirman tener al menos algunos elementos de IA, aprendizaje automático o modelado estadístico, todos ellos conceptos estrechamente relacionados.
La promesa de la IA en la ciberseguridad
Hillstone ha sido pionero en el uso de la IA y el ML (Machine learning) en los productos de seguridad, y para nosotros el bombo está justificado. Las técnicas de IA son muy prometedoras en las áreas de detección, análisis, caza y respuesta a las amenazas. Su capacidad para aplicar técnicas avanzadas de análisis y basadas en la lógica puede aliviar en gran medida la carga de los administradores de seguridad y permitirles tomar medidas razonadas y eficaces en respuesta a los ataques y amenazas.
El análisis del comportamiento de usuarios y entidades (UEBA), por ejemplo, puede ayudar a detectar a personas internas malintencionadas, así como a atacantes externos hostiles que se infiltran en la red y sus activos. El análisis del tráfico de la red es otra área en la que la IA puede brillar; el volumen del tráfico de la red suele ser masivo y llevar a cabo un análisis exhaustivo y continuo que sólo con esfuerzos humanos sería no solo difícil, si no imposible.
Las técnicas avanzadas de IA y ML, como el análisis de big data, pueden ayudar a detectar el malware y las amenazas avanzadas con un gran grado de precisión, incluidas las mutaciones y variantes. Y, por último, la IA y el ML pueden mejorar la automatización de la seguridad codificando muchas tareas rutinarias y repetitivas en playbooks (o flujos de trabajo), lo que permite al personal del SOC centrarse en la resolución de amenazas y en otros esfuerzos de misión crítica.
…pero algunas afirmaciones de la IA se quedan cortas
A pesar de lo prometedoras que resultan la IA y el ML para la ciberseguridad, algunas de las afirmaciones deben tomarse con cautela. Las afirmaciones de AGI, o inteligencia general artificial, son un área de preocupación: Aunque varias organizaciones están trabajando en ello, en realidad no estamos ni siquiera cerca en este momento. Es posible que veas afirmaciones de AGI o soluciones de IA autónomas que no requieren ninguna intervención humana. Sugerimos que se proceda con cautela ante cualquier cosa que pretenda sustituir por completo las maravillosas capacidades de la mente humana.
Otra área de preocupación es la de las tecnologías de seguridad aumentadas por la IA que pueden alertar sobre amenazas potenciales, pero sin el contenido de apoyo forense o causal para proporcionar contexto a los administradores de seguridad. Esto deja al ya sobrecargado equipo de seguridad con aún más metadatos que revisar en un intento de descubrir si una amenaza es real, o no.
La IA en manos de los hackers
Como mencionamos en nuestro blog inicial, hace tiempo que los atacantes han descubierto que si compran una determinada tecnología de detección basada en IA, pueden entrenar sus malwares para evitar ser descubiertos por ese dispositivo en particular. Del mismo modo, han aprendido a inyectar código malicioso a través del phishing y otros ataques que luego «envenenarán» los datos utilizados por el sistema basado en IA para detectar comportamientos anómalos. En esencia, los datos envenenados pueden enseñar a los motores de IA que los comportamientos extraños o aberrantes son normales.
Los actores maliciosos también están utilizando la IA para crear puertas traseras y para calibrar qué vulnerabilidad dentro de una red será el mejor vector de ataque, por ejemplo.
¿Está la IA a la altura de las circunstancias?
En una palabra: absolutamente, pero con salvedades. Si se repasan los casos de uso que hemos expuesto anteriormente en este artículo, se observará que cada uno de ellos se centra en la detección basada en el comportamiento. Independientemente de sus tácticas evasivas, el malware casi siempre muestra ciertos comportamientos, a menudo sutiles, que pueden discernirse analizando las enormes cantidades de datos que se generan en una red típica.
Y eso es precisamente lo que la IA y el ML hacen muy bien: digerir, correlacionar y analizar enormes cantidades de datos para detectar pequeños matices o indicadores de amenaza, que luego se pueden presentar al equipo de seguridad para que los investigue. La IA puede ayudar a agilizar los procesos y a realizar tareas repetitivas, a reducir de forma inteligente los falsos positivos y a disminuir la carga de trabajo del sobrecargado personal de TI y de seguridad.
Hemos estado aprovechando las técnicas basadas en IA y ML desde principios de 2010, y nuestro conjunto de productos ha integrado dichas técnicas para mejorar el proceso de análisis de correlación, la detección de comportamientos y la detección y prevención inteligentes. Póngase en contacto con su representante local de Hillstone o con un distribuidor autorizado hoy mismo para iniciar una conversación.