[22/04/2022] El servicio de acceso seguro, o SASE (por sus siglas en inglés), combina la red y la seguridad en un servicio basado en la nube, y está creciendo rápidamente. Según las proyecciones de Gartner, el gasto de las empresas en SASE alcanzará casi siete mil millones de dólares este año, frente a los cinco mil millones de dólares del 2021. Gartner también predice que más del 50% de las organizaciones tendrán estrategias para adoptar SASE en el 2025, frente a menos del 5% en el 2020.
Los cinco componentes principales de la pila SASE son SD-WAN, firewall-as-a-service (FWaaS), secure web gateway (SWG), cloud access security broker (CASB) y zero trust network access (ZTNA).
También hay una sexta tecnología clave que está desempeñando un papel cada vez más importante en todos los aspectos de SASE, y es la inteligencia artificial. "Es algo en lo que la mayoría de los proveedores de SASE, si no todos, están trabajando", afirma Joe Skorupa, analista de Gartner.
A ello contribuye el hecho de que los proveedores de SASE ya cuentan con algunas de las mayores colecciones de datos relacionados con la red y la ciberseguridad del planeta. Algunos proveedores con visión de futuro empezaron a recopilar estos datos incluso antes de que la IA y los algoritmos de aprendizaje automático estuvieran completamente desarrollados, afirma Skorupa.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"Algunos de los proveedores con los que hablé en el lado de la SD-WAN estaban construyendo sus lagos de datos hace cinco años, sabiendo que sería valioso a pesar de que no podían construir las capacidades de ML que querían entonces", comenta. "Es lo mismo en el lado de la seguridad: creo que los proveedores han visto la promesa, y simplemente ha tomado tiempo para que las tecnologías habilitadoras maduren".
Debido a que recopilan datos globales sobre redes y amenazas de ciberseguridad, los proveedores de SASE pueden aprender más rápido que las empresas individuales que trabajan con sus propios conjuntos de datos limitados. Como resultado, la IA y el aprendizaje automático utilizados por los proveedores de SASE tienen el potencial de volverse más inteligentes y rápidos que los de las empresas individuales, en particular las que son de tamaño pequeño o mediano.
Gartner predice que la inteligencia artificial y las capacidades de automatización se convertirán en características clave que las empresas buscarán al elegir un proveedor de SASE. Aunque muchas de ellas aún están en desarrollo, a continuación, se indican algunas capacidades que cabe esperar en futuras versiones.
Reducción de las alertas de falsos positivos
El College of Southern Nevada tuvo que dar soporte a más de 40 mil estudiantes, profesores y personal remotos durante la noche debido a la pandemia, y, como muchas empresas hicieron en ese momento, se cambiaron a SASE por su facilidad de despliegue y escalabilidad.
La mejora de la seguridad fue una ventaja bienvenida, en particular la forma en que el sistema redujo las falsas alertas positivas utilizando la IA, comenta Mugunth Vaithylingam, director de experiencia de la universidad.
"Nuestro proveedor de SASE, Open Systems, utiliza la IA para eliminar las alertas falsas positivas, que antes nos inundaban", añade Vaithylingam. "Ahora, en lugar de estar abrumados -y a veces paralizados- por todas estas alertas, mis equipos internos de red y seguridad pueden centrarse en sus tareas con una eficiencia enormemente mayor".
No es el único que se enfrenta a este problema.
La fatiga por las alertas es real: los analistas de seguridad sufren debido al gran volumen de alertas que tienen que gestionar a diario. En una encuesta mundial realizada a 800 profesionales de TI y publicada en el mes de marzo por la empresa de seguridad en la nube Orca Security, el 60% afirmó que recibe más de 500 alertas de seguridad en la nube cada día, y el volumen de trabajo hizo que el 55% de los encuestados perdiera alertas críticas diaria o semanalmente.
Orange Cybersecurity, una empresa de ciberseguridad que procesa más de 60 mil millones de eventos de seguridad diarios, analizó casi 100 mil incidentes de ciberseguridad el año pasado y descubrió que el 40% eran falsos positivos.
Open Systems utiliza la IA para la detección de anomalías en la seguridad y los incidentes y para clasificarlos, afirma Stefan Keller, vicepresidente de SASE en el proveedor. "Los principales beneficios son un aumento de la tasa de detección junto con una reducción drástica de la tasa de falsos positivos", afirma.
Análisis y reparación de redes
A grandes rasgos, las empresas están avanzando hacia redes autónomas que aprovechan la IA y el aprendizaje automático para tomar decisiones con poca o ninguna intervención humana. En un entorno SASE, eso podría adoptar la forma de análisis de tráfico de red automatizado, por ejemplo.
La SD-WAN que utiliza la IA puede rastrear los picos de tráfico para evitar problemas de rendimiento. Podría sugerir que una empresa debería pensar en pedir más ancho de banda para un enlace o sucursal en particular, o que debería actualizar sus políticas de dirección de tráfico, anota Skorupa de Gartner. "Podrían mover parte del tráfico de ese enlace en particular, y liberar lo que necesitan sin tener que comprar más ancho de banda".
Una red impulsada por la IA podría mover las cargas de trabajo o cambiar el acceso de los usuarios cuando no se cumpla un nivel de servicio, añade Abe Ankumah, vicepresidente de gestión de productos de VMware SASE. "Eso podría ser tomar decisiones de enrutamiento global, o eso podría ser dirigir el tráfico a un recurso de aplicación diferente o a una nube diferente", dice Ankumah.
Skorupa advierte que ganarse la confianza de los clientes será un reto a largo plazo. El departamento de operaciones no va a dejar todo en manos de los algoritmos, señala. "Tiene que demostrar como proveedor que aporta conocimientos valiosos y que los cambios sugeridos serían valiosos en el lado de la red".
Gartner dice a los clientes que piensen en el funcionamiento y la gestión del día a día: el uso cotidiano de los productos y servicios de red en sus entornos. "Piense en esos aspectos operativos a largo plazo", sostiene Skorupa.
Menos del 5% de las empresas con despliegues de SD-WAN utilizaron funciones de inteligencia artificial para automatizar las operaciones del día dos en el 2021, según Gartner, pero se espera que la cifra llegue al 40% en el 2025.
Mantenimiento predictivo
Otro caso de uso claro para la IA es el mantenimiento predictivo, señala Skorupa.
"Si se ejecuta un análisis predictivo en una sucursal para ver los dispositivos de SD-WAN, el algoritmo muestra que el transceptor óptico tiene un comportamiento que indica que va a fallar en los próximos días", afirma. "¿Se sentirá cómodo haciendo que el algoritmo se ponga en contacto con la gente que se encarga del soporte de hardware y envíe a un técnico para que haga la reparación? Por supuesto".
El mantenimiento predictivo ya se ha hecho popular en otras aplicaciones de la IA. Por ejemplo, en la industria manufacturera, es uno de los principales casos de uso, según el informe 2021 State of AI de McKinsey, publicado en diciembre.
Y en la supervisión del rendimiento de la red, son la IA, el análisis predictivo y el aprendizaje automático los que impulsan el crecimiento del mercado, según un informe publicado por Persistence Market Research.
Análisis del comportamiento de usuarios y entidades
Los proveedores de SASE tienen acceso a una gran cantidad de datos, que pueden utilizar para establecer una línea de base sobre cómo los seres humanos y los dispositivos deben actuar dentro de una red, lo que puede ayudar tanto en la autenticación como en la detección de actividades sospechosas.
"Desde el punto de vista de la red, es necesario garantizar la identidad de las entidades que se conectan a la red", señala Trent Fierro, director senior de marketing de soluciones de nube y AIOps en Aruba, una empresa de Hewlett Packard Enterprise.
Los modelos de IA pueden identificar rápidamente el tipo de puntos finales que se conectan a una red, perfilar a cada cliente que accede a una red y dar a los expertos en seguridad un conocimiento de lo que hay en sus redes, sostiene Fierro.
En Aruba, la compañía tiene telemetría de más de 120 mil sitios de clientes, 120 millones de clientes de puntos finales y casi dos millones de dispositivos de infraestructura a partir de los cuales puede entrenar sus modelos, indica.
Detección de anomalías
La detección de anomalías es un tipo de algoritmo de aprendizaje automático que detecta la actividad que no se ajusta a los patrones normales. Es uno de los mayores casos de uso de la IA en la ciberseguridad, y puede ser dramáticamente eficaz cuando se utiliza contra los grandes conjuntos de datos de ciberseguridad y redes de los proveedores de SASE.
"La IA es inmensamente valiosa cuando se utiliza para detectar comportamientos que no son intrínsecamente buenos o malos, pero que son difíciles de detectar con las técnicas tradicionales", afirma Aaron Sant-Miller, científico de datos de la consultora de tecnologías de la información Booz Allen Hamilton. Cuando los resultados se facilitan a los analistas, éstos pueden revisar la información y decidir si una amenaza maliciosa se está moviendo hacia abajo en la cadena de muerte cibernética, señala.
Sin embargo, no todos los comportamientos anómalos son fáciles de clasificar.
"Los sistemas de detección de anomalías tienen dificultades porque muchos comportamientos anómalos son benignos y no intrínsecamente maliciosos", afirma Sant-Miller. "Esto puede elevar las tasas de falsos positivos para los analistas, alimentando la desconfianza en la IA".
Además, los comportamientos en una red están determinados por su configuración, por lo que tomar una capacidad de IA construida para los datos de una red específica y ejecutarla en otra puede dar lugar a falsas alertas, añade.
Prevención de la pérdida de datos
La prevención de la pérdida de datos no es una de las características principales de SASE, pero es una de las que muchos proveedores de SASE han añadido recientemente, o están en proceso de implantación. Evita que se filtren datos sensibles desde los sistemas de una empresa, ya sea por atacantes externos o por personas malintencionadas.
Cuando se complementan con la IA, las herramientas de prevención de pérdida de datos pueden identificar los datos que han sido deliberadamente ofuscados con el fin de superar simples filtros basados en palabras clave.
La amenaza interna es uno de los mayores problemas a los que se enfrentan las empresas hoy en día, comenta Krishna Naraynaswamy, director de tecnología de Netskope.
"Los empleados que se marchan tienden a llevarse información sensible, como documentos de diseño y códigos a los que han contribuido mientras trabajaban en la empresa", afirma. "Las personas internas malintencionadas también roban datos de la empresa y los comparten con el exterior".
La IA puede rastrear la información sensible que una persona ya tiene en su poder, incluso si un archivo se toma fuera de la red de una empresa, sostiene.
Pero la IA puede hacer algo más que impedir que los datos salgan de una empresa. También puede negar el acceso a esos datos en primer lugar.
Los algoritmos de IA pueden mantener una puntuación de riesgo para cada usuario -similar a una puntuación de crédito- y alimentar la puntuación en las políticas de acceso de confianza cero, anota Naraynaswamy. "A un usuario con una mala puntuación de riesgo de usuario se le puede negar el acceso a los datos sensibles".
Algunos proveedores de SASE incluyen tecnología de prevención de pérdida de datos en los agentes que los usuarios finales tienen en sus máquinas, anota Skorupa de Gartner.
Así, por ejemplo, un usuario malintencionado podría intentar hacer una captura de pantalla de una hoja de cálculo para robar los datos y luego enviarlos, dice. "Y se bloquea".
"Podría desconectarme de la VPN de la empresa para que ésta no vea mi tráfico de red y arrastrarlo a mi Gmail, y aun así se bloquea", añade Skorupa. Eso es porque el agente del proveedor de SASE ha estado rastreando la información sensible mientras se transformaba
No todos los proveedores de SASE ofrecen todavía esta tecnología, indica, pero unos cuantos ya lo hacen.
Identificar y prevenir los ataques de día cero
Los sistemas tradicionales de detección de intrusos son buenos para detectar vulnerabilidades conocidas y pueden evitar que se repita el mismo ataque, pero pueden ser lentos para responder a las nuevas amenazas. "Siempre es más fácil prevenir un ataque que ya ha ocurrido", señala Anand Oswal, vicepresidente senior de Palo Alto Networks.
Al entrenar los modelos de IA con todas las vulnerabilidades y exploits conocidos, los ataques que aún no se han producido pueden descubrirse y detenerse inmediatamente, y muchos de los nuevos ataques son versiones diferentes de amenazas previamente conocidas.
Alrededor del 90% del malware es en realidad variaciones de malware existente, anota Oswal. "Así que podemos utilizar nuestro motor de IA para detener este malware empujando los modelos de aprendizaje automático en las plataformas y deteniéndolos en tiempo real".
Mientras que algunas amenazas se benefician de la monitorización y la mitigación automática, los ataques más complicados deberían involucrar directamente a los expertos en seguridad, señala Skorupa de Gartner. "Ciertamente puede obtener falsos positivos en el lado de la seguridad, por lo que es muy posible que tenga algún personal de ingeniería de alto nivel mirando algunas de estas cosas".
Mitigación de DDoS
El continuo crecimiento de los dispositivos conectados no seguros, el paso a las redes 5G de alta velocidad y la expansión de la industria de DDoS como servicio se están combinando para una tormenta perfecta cuando se trata de ataques de denegación de servicio distribuidos (DDoS).
La empresa de investigación Spamhaus informó de más de 3.200 servidores de mando y control de botnets en el cuarto trimestre del 2021, frente a los menos de 1.400 del cuarto trimestre del 2020.
En enero, Microsoft informó del mayor ataque DDoS que ha registrado, con 3,47 terabits por segundo y una tasa de 340 millones de paquetes por segundo. Por su parte, Cloudflare informó de un ataque volumétrico récord, con 17 millones de peticiones por segundo el pasado verano. Eso es casi tres veces más grande que cualquier ataque que la compañía había visto antes.
Con un ataque contundente como un DDoS, las empresas necesitan tener algoritmos que mitiguen muy rápidamente la amenaza, señala Skorupa. La mitigación de DDoS es una característica común que ofrecen los proveedores de SASE. También es una de las cosas más fáciles de manejar para las empresas que confían en la IA, anota Skorupa.
Aliviar la carga de los analistas de seguridad
Cuando las tareas repetitivas y rutinarias pueden ser gestionadas por la IA, los analistas de seguridad pueden dedicar su tiempo a cuestiones más complicadas.
La IA sirve como un multiplicador de fuerza que aumenta el trabajo de un profesional de la seguridad al aprender sus tendencias y preferencias, y ayudarles a completar su trabajo diario de manera más eficiente, indica el científico de datos de Booz Allen Hamilton, Colin Friedman.
"El objetivo es apoyar la adopción de la IA para que las personas con experiencia puedan dedicarse a las cosas que requieren sus habilidades y menos a las tareas arduas que consumen un tiempo valioso", sostiene.
Pero la IA no está preparada para funcionar sin humanos en el bucle, advierte. "No creo que estemos o queramos estar en un lugar donde la IA elimine la intervención humana", señala Friedman.
Los verdaderos beneficios de la IA están por llegar
Mirando hacia el futuro, el verdadero valor de la IA para las aplicaciones SASE vendrá más tarde, cuando los proveedores sean capaces de ofrecer una observabilidad de pila completa de sus sistemas, señala Ron Howell, arquitecto e ingeniero gerente de SD-WAN y SASE en la consultora Capgemini Americas.
"La IA dentro de SASE depende de la solución SASE elegida y utilizada", afirma. "La visibilidad proactiva es la clave principal".
Las empresas necesitan tener observabilidad en la pila completa de la red, la seguridad y las aplicaciones, anota. "Algunos de los proveedores de SASE están comenzando a incluir capacidades de IA en AIOps y medición. Sin embargo, muchas de las soluciones SASE no están preparadas para la IA o la observabilidad de la pila completa".
La IA todavía está en sus primeras etapas en casi todas las soluciones SASE, señala. "El potencial a largo plazo es una red segura proactiva de extremo a extremo como servicio", indica.
Al mismo tiempo, las propias empresas todavía son reacias a confiar en la IA para tomar decisiones clave. "No pueden permitirse un tiempo de inactividad si algo va mal", afirma. "Aunque la IA es valiosa, seguimos necesitando buenos ingenieros que tomen decisiones sólidas".
Basado en el artículo de Maria Korolov (Network World) y editado por CIO Perú
Puede ver también: