Llegamos a ustedes gracias a:



Reportajes y análisis

La inteligencia artificial y la seguridad

Cómo mantenerse a la vanguardia de las amenazas

[04/12/2017] Desde el incidente de Target 2013, ha quedado claro que las empresas deben responder mejor a las alertas de seguridad. Con los ataques de ransomware de rápida propagación de este año y los requisitos de cumplimiento cada vez más estrictos, la respuesta debe ser mucho más rápida. Agregar personal es difícil, por lo que las empresas están recurriendo al aprendizaje automático y la inteligencia artificial (IA) para automatizar las tareas y detectar mejor el mal comportamiento.

¿Qué son la inteligencia artificial y el aprendizaje automático?

En un contexto de seguridad cibernética, la IA es un software que percibe su entorno lo suficientemente bien como para identificar eventos y tomar medidas contra un propósito predefinido. La IA es especialmente buena para reconocer patrones y anomalías dentro de ellos, lo que lo convierte en una excelente herramienta para detectar amenazas.

El aprendizaje automático a menudo se usa con la IA. Es un software que puede "aprender" por sí solo en función del aporte humano y los resultados de las acciones realizadas. Junto con la IA, el aprendizaje automático puede convertirse en una herramienta para predecir resultados basados en eventos pasados.

Usar la IA y el aprendizaje automático para detectar amenazas

Barclays Africa está comenzando a utilizar la IA y el aprendizaje automático para detectar amenazas de ciberseguridad y responder a ellas. "Existen poderosas herramientas disponibles, pero se debe saber cómo incorporarlas en la estrategia más amplia de ciberseguridad", señala Kirsten Davies, CSO del grupo Barclays África.

Por ejemplo, la tecnología se utiliza para buscar indicadores de compromiso en la red de la empresa, tanto en las instalaciones de la empresa como en la nube. "Estamos hablando de enormes cantidades de datos", señala la ejecutiva. "A medida que el panorama global de amenazas avanza con bastante rapidez, tanto en capacidad como en colaboración en el lado del atacante, debemos utilizar herramientas y tecnologías avanzadas para superar la amenaza por sí misma".

La IA y el aprendizaje automático también le permite desplegar a su personal para las tareas más valiosas lideradas por humanos. "Hay una enorme escasez de las habilidades críticas que necesitamos a nivel mundial", anota la ejecutiva. "Hemos estado al tanto de eso por bastante tiempo, y no podemos continuar haciendo las cosas de forma manual".

El banco no está solo. La empresa de servicios de ingeniería Cadence Design Systems, Inc., con sede en San José, monitorea constantemente las amenazas para defender su propiedad intelectual. Entre 250 y 500 gigabits de datos relacionados con la seguridad fluyen diariamente entre más de 30 mil dispositivos de punto final y 8.200 usuarios, y solo hay 15 analistas de seguridad que los observan. "Estos son solo algunos de los datos de red que estamos obteniendo", señala Sreeni Kancharla, CISO de la compañía. "De hecho, tenemos más. Debe tener aprendizaje automático e inteligencia artificial para que pueda analizar los problemas reales y mitigarlos".

Cadence utiliza estas tecnologías para monitorear el comportamiento de los usuarios y las entidades, y para el control de acceso, a través de productos de Aruba Networks, una compañía de HPE. Kancharla dice que el aspecto de aprendizaje no supervisado de la plataforma fue particularmente atractivo. "Es un entorno cambiante", añade. "En estos días, los ataques son tan sofisticados que pueden estar haciendo pequeñas cosas, que con el tiempo se convertirán en una gran filtración de datos. Estas herramientas en realidad nos ayudan".

Incluso las empresas más pequeñas luchan contra el desafío de una sobrecarga de datos de seguridad. Daqri es una empresa con sede en Los Ángeles que fabrica gafas y cascos de realidad aumentada para arquitectura y fabricación. Tiene 300 empleados y solo un centro de operaciones de seguridad para una sola persona. "El desafío de atravesar y responder a los eventos de seguridad requiere mucha mano de obra", comenta Minuk Kim, director senior de tecnología de la información y seguridad de la empresa.

La compañía utiliza herramientas de inteligencia artificial de Vectra Networks para monitorear el tráfico de aproximadamente 1.200 dispositivos en su entorno. "Cuando observa el tráfico de la red, puedes ver si alguien está haciendo escaneos de puertos o saltando de host a host, o transfiriendo grandes secciones de datos a través de un método no convencional", anota Kim.

La empresa recopila todos estos datos, los analiza y los introduce en un modelo de aprendizaje profundo. "Ahora puede hacer conjeturas muy inteligentes sobre qué tráfico podría ser potencialmente malicioso", añade.

Debe suceder rápidamente. "Siempre se trata de la capacidad de reforzar el circuito de detección y respuesta", anota. "Aquí es donde entra la IA. Si puede reducir el tiempo para revisar todos estos incidentes, mejorará drásticamente la capacidad de saber qué está sucediendo en su red, y cuando ocurre una brecha crítica, puede identificar y responder rápidamente minimizando el daño"

La adopción de la IA para la ciberseguridad en aumento

La IA y el aprendizaje automático están marcando una diferencia significativa en la rapidez con que las empresas pueden responder a las amenazas, confirmó Johna Till Johnson, CEO de Nemertes Research. "Este es un mercado real", señala la ejecutiva. "Existe una necesidad real, y la gente realmente lo está haciendo".

Nemertes recientemente llevó a cabo un estudio de seguridad global, y el tiempo promedio que tardó una compañía en detectar un ataque y responder a ella fue de 39 días, pero algunas empresas pudieron hacerlo en cuestión de horas. "La velocidad se correlacionó con la automatización, y no se pueden automatizar estas respuestas sin usar la IA y el aprendizaje automático", señala.

Tome la detección, por ejemplo: "El tiempo medio de detección es de una hora", agrega. "Las empresas de alto rendimiento generalmente hacen esto en menos de 10 minutos: las empresas de bajo rendimiento demoran días o semanas. El aprendizaje automático y el análisis pueden llevar este tiempo a cero, razón por la cual las empresas de alto rendimiento son tan rápidas".

Del mismo modo, al analizar las amenazas, el tiempo promedio es de tres horas. Las empresas de alto rendimiento tardan solo unos minutos, otras tardan días o semanas. El 21% de las empresas encuestadas ya ha implementado análisis de amenaza del comportamiento, comenta, y otro 12% dice que lo tendrá listo para fines del 2017.

Las firmas de servicios financieros en particular están a la vanguardia, señala la ejecutiva, ya que tienen datos de alto valor, tienden a adelantarse a la curva de ciberseguridad y tienen dinero para gastar en nuevas tecnologías. "Porque no es barato".

Cuando se trata de aplicaciones más amplias de IA y aprendizaje automático, los números de uso son aún más altos. De acuerdo con una encuesta de Vanson Bourne, lanzada el 11 de octubre, el 80% de las organizaciones ya están utilizando la IA en alguna forma. La tecnología ya está dando sus frutos. El mayor impacto en los ingresos de IA fue en innovación de productos e investigación y desarrollo, I&D, con el 50% de los encuestados diciendo que la tecnología estaba marcando una diferencia positiva; seguido del servicio al cliente en un 46% y la cadena de suministro y las operaciones en un 42%. La seguridad y el riesgo no se quedaron atrás, con el 40% viendo los beneficios finales.

Es probable que los números sigan subiendo. De acuerdo con una reciente encuesta de Spiceworks, 30% de las organizaciones con más de mil empleados están utilizando la IA en sus departamentos de TI, y un 25% planea adoptarla el próximo año.

Garrigan Lyman Group, una agencia de marketing con sede en Seattle, está implementando la IA y el aprendizaje automático para una serie de tareas de ciberseguridad, incluida la supervisión de actividades inusuales de redes y usuarios, y para detectar nuevos correos electrónicos de phishing. De lo contrario, es imposible mantenerse al día, señala Chris Geiser, CTO de la compañía. "La 'hackasfera' es un ejército de voluntarios y no se necesita mucha educación o conocimiento para comenzar", señala. "Automatizaron sus operaciones hace mucho tiempo".

La IA y el aprendizaje automático le dan a la empresa una ventaja. Aunque la compañía es pequeña, solo 125 empleados, la implementación basada en la nube permite obtener la última tecnología y obtenerla rápidamente. "Podemos tener esas cosas en funcionamiento y agregar valor en un par de semanas", señala. El Garrigan Lyman Group ha implementado herramientas de seguridad habilitadas con inteligencia artificial desde Alert Logic y Barracuda, y Geiser dice que puede ver que los productos se vuelven cada vez más inteligentes.

En particular, la IA puede ayudar a que las herramientas se adapten rápidamente a los requisitos de una empresa sin una capacitación inicial importante. "Por ejemplo, un modelo de inteligencia artificial puede aprender automáticamente que, para algunas empresas, es anómalo que el CEO utilice una dirección de correo electrónico no corporativa", señala Asaf Cidon, vicepresidente de servicios de seguridad de contenido de Barracuda Networks, Inc. "En otras compañías, es totalmente normal que el CEO use su correo electrónico personal cuando se está comunicando desde su dispositivo móvil, pero no sería normal que el CFO envíe correos electrónicos desde su dirección personal".

Otro beneficio de la entrega en la nube es que es más fácil para los proveedores mejorar sus productos en función de los comentarios de toda su base de clientes. "La ciberseguridad es muy parecida a la vigilancia del vecindario", indica Geiser. "Si no me gustó lo que vi al otro lado de la calle, les indica a todos que podría haber un problema".

En el caso de correos electrónicos de phishing o ataques a la red, se pueden detectar nuevas amenazas cuando aparecen por primera vez en otras zonas horarias, lo que da a las empresas horas de alerta temprana. Eso requiere un nivel de confianza en el proveedor, indica Geiser. "Hemos seguido la reputación y las referencias en una serie de vías de diligencia diferentes, para asegurarnos de que los proveedores sean los proveedores adecuados y sigamos las mejores prácticas de auditoría y cumplimiento para asegurarnos de que solo la persona adecuada tenga acceso", indica el ejecutivo.

A medida que las empresas pasan por primera vez de los procesos manuales a la automatización basada en inteligencia artificial, buscan otro tipo de confianza: además de tener visibilidad de las operaciones de los proveedores, ayuda a tener visibilidad del proceso de toma de decisiones de la IA. "Mucho de la IA que hay ahora es esta misteriosa caja negra que simplemente hace cosas mágicamente", señala Mike Armistead, CEO y cofundador de Respond Software, Inc. "La clave en los sistemas expertos es hacer que sean transparentes, por lo que la gente confía en lo que hacen. Eso obtiene aún mejores comentarios, y crea un agradable ciclo virtuoso de refuerzo y cambio del modelo también".

"Siempre debe saber por qué tomó la decisión", asegura Matt McKeever, CISO de LexisNexis Legal and Professional. "Debemos asegurarnos de que comprendemos cómo se tomó la decisión".

La compañía recientemente comenzó a utilizar GreatHorn para proteger el correo electrónico de sus 12 mil empleados. "Si comenzamos a recibir correos electrónicos de un dominio que se parece a uno legítimo, lo marcará como un dominio similar, y nos dice: 'Lo hemos marcado porque parece un dominio con el que normalmente hablas, pero las banderas del encabezado del dominio no se ven bien'", señala McKeever. "Podemos ver cómo se dio cuenta de eso, y podemos decir: 'Sí, eso tiene sentido'".

A medida que el nivel de confianza aumenta y las tasas de precisión mejoran, LexisNexis pasará de simplemente marcar correos electrónicos sospechosos a ponerlos en cuarentena automáticamente. "Hasta ahora, los resultados han sido realmente buenos", anota McKeever. "Confiamos mucho en que estamos marcando el correo electrónico malicioso y comenzaremos a ponerlo en cuarentena para que el usuario ni siquiera lo vea".

Después de eso, su equipo expandirá la herramienta a otras divisiones y áreas comerciales en LexisNexis que usan Office 365, y buscará otras formas de aprovechar la IA para la ciberseguridad también. "Esta es una de nuestras primeras incursiones en el aprendizaje automático para la seguridad", indica.

Cómo la IA se adelanta al paisaje de amenazas

La IA mejora con más datos. A medida que los proveedores acumulan grandes conjuntos de datos, sus sistemas también pueden aprender a detectar indicios muy tempranos de nuevas amenazas. Tome las inyecciones de SQL, por ejemplo. Alert Logic recopila alrededor de medio millón de incidentes cada trimestre para sus cuatro mil clientes, de los cuales la mitad son incidentes de inyección SQL. "No hay una compañía de seguridad en el mundo que pueda mirar a cada uno con ojos humanos y ver si ese intento de inyección SQL fue exitoso o no", señala Misha Govshteyn, cofundador de Alert Logic y vicepresidente senior de productos y marketing.

Con el aprendizaje automático, el proveedor no solo puede procesar los eventos más rápidamente, sino también correlacionarlos en el tiempo y la geografía. "Algunos ataques toman más de un par de horas, a veces días, semanas y en algunos casos meses", señala. "No solo tardan mucho en ejecutarse, sino que también provienen de diferentes partes de Internet. Creo que estos son incidentes que nos habríamos perdido antes de implementar el aprendizaje automático".

Otro proveedor de seguridad que recopila gran cantidad de información sobre amenazas de seguridad es GreatHorn, Inc., un proveedor de seguridad de correo electrónico basado en la nube que trabaja con Microsoft Office 365, G Suite de Google y Slack. "Ahora estamos sentados en casi 10 terabytes de datos de amenaza analizados", señala Kevin O'Brien, cofundador y CEO de la compañía. "Estamos empezando a alimentar esa información en un campo tensor, para que podamos comenzar a trazar relaciones entre diferentes tipos de comunicaciones, diferentes tipos de servicios de correo, diferentes tipos de sentimientos en la mensajería".

Eso significa que la empresa puede detectar nuevas campañas y enviar los mensajes a cuarentena, o les pone advertencias días antes de que se identifiquen de manera concluyente como amenazas. "Entonces podemos retroactivamente regresar y sacarlos de todas las bandejas de entrada de correo electrónico donde fueron entregados", añade.

Hacia dónde se dirige la IA para la ciberseguridad

La búsqueda de patrones sospechosos en el comportamiento del usuario y el tráfico de la red es actualmente la fruta más fácil para la inteligencia artificial. Los sistemas actuales de aprendizaje automático se están volviendo buenos para detectar eventos inusuales en grandes volúmenes de datos, y llevar a cabo análisis y respuestas de rutina.

El siguiente paso es usar inteligencia artificial para abordar problemas más espinosos. Por ejemplo, la exposición al riesgo cibernético en tiempo real de una empresa depende de una gran cantidad de factores. Entre ellos se incluyen sistemas sin parches, puertos inseguros, correos entrantes de phishing, número de cuentas privilegiadas y contraseñas inseguras, cantidad de datos confidenciales sin encriptar, y si actualmente está siendo vulnerado por un atacante del estado.

Tener una idea precisa de sus riesgos ayudaría a que una empresa implemente los recursos de la manera más eficiente, y cree un conjunto de métricas para el rendimiento de seguridad cibernética, aparte de si la empresa ha sido violada o no. "Hoy, si tratara de describir su entorno, estos datos no se recopilan correctamente o no se convierten en información", anota Gaurav Banga, fundador y CEO de Balbix, Inc., una startup que está tratando específicamente de abordar el problema de predecir el riesgo de una violación.

La IA es clave para resolver ese desafío. "Tenemos 24 tipos diferentes de algoritmos de inteligencia artificial", señala Banga. "Producimos un modelo de abajo hacia arriba, un mapa de riesgo de calor que cubre todos los aspectos del entorno, se puede hacer clic para que pueda bajar y ver por qué algo es rojo. Es preceptivo, por lo que le dice que, si puede hacer estas cosas, puede volverse amarillo y, finalmente, verde. Puede hacer preguntas: "¿Cuál es la mejor cosa que puedo hacer ahora?" o '¿Cuál es mi riesgo de phishing?' o '¿Cuál es mi riesgo de querer llorar?'"

En el futuro, la IA también ayudará a las empresas a determinar en qué nuevas tecnologías de seguridad necesitan invertir. "La mayoría de las empresas de hoy no saben cuánto gastar en seguridad cibernética y cómo hacerlo", afirma James Stanger, jefe evangelista de tecnología en CompTIA. "Creo que necesitamos la IA para ayudar a proporcionar métricas, de modo que cuando un CIO se da la vuelta y habla con el CEO o habla con la junta, y señala, 'Aquí está el dinero que necesitamos y aquí están los recursos que necesitamos', tengamos las métricas verdaderas y útiles para justificar esos costos".

Hay mucho espacio para el progreso, anota Govshteyn de Alert Logic. "Hay muy poco uso de inteligencia artificial en el espacio de seguridad", agrega. "Creo que estamos realmente detrás de otras industrias. Es sorprendente para mí que tengamos autos que se manejan solos antes de tener redes autodefensivas".

Además, las plataformas actuales de inteligencia artificial no comprenden realmente el mundo. "Éstas tecnologías son muy buenas para cosas como la clasificación de datos basada en conjuntos de datos similares en los que han sido entrenadas", indica Steve Grobman, CTO de McAfee LLC. "Pero la IA no es realmente inteligente. No entiende el concepto de un ataque".

Como resultado, un defensor humano sigue siendo un componente crítico de una solución de defensa cibernética. "En ciberseguridad, está tratando de detectar a un adversario que también es humano y está tratando de frustrar sus técnicas de detección", añade Grobman.

Eso es diferente de cualquier otra área donde la inteligencia artificial se está aplicando actualmente, como el reconocimiento de imágenes y voz o el pronóstico del tiempo. "No es como si el huracán dijera: 'Voy a cambiar las leyes de la física y hacer que el agua se evapore de manera diferente para que sea más difícil rastrearme'", indica Grobman. "Pero en ciberseguridad, eso es exactamente lo que está sucediendo".

El progreso se está haciendo en ese frente. "Hay un área de investigación llamada redes generativas adversariales, donde tienes dos modelos de aprendizaje automático, donde uno trata de detectar algo y el otro ve si algo se detectó e intenta eludirlo", indica Sven Krasser, científico jefe de CrowdStrike, Inc. "Puede usar cosas como esa para las alertas rojas, para descubrir qué nuevas amenazas pueden ser".