En el mundo de la ciberseguridad la inteligencia artificial está recibiendo más atención que otras tecnologías, debido a que casi todos los productos nuevos en este ámbito afirman tener al menos algunos elementos de IA, aprendizaje automático o modelado estadístico, todos ellos conceptos estrechamente relacionados.
Hillstone Networks explicó que las técnicas de IA son muy prometedoras en las áreas de detección, análisis, caza y respuesta a las amenazas. Su capacidad para aplicar técnicas avanzadas de análisis y basadas en la lógica puede aliviar en gran medida la carga de los administradores de seguridad y permitirles tomar medidas razonadas y eficaces en respuesta a los ataques y amenazas.
El análisis del comportamiento de usuarios y entidades (UEBA), por ejemplo, puede ayudar a detectar a personas internas malintencionadas, así como a atacantes externos hostiles que se infiltran en la red y sus activos. El análisis del tráfico de la red es otra área en la que la IA puede brillar; el volumen del tráfico de la red suele ser masivo y llevar a cabo un análisis exhaustivo y continuo que sólo con esfuerzos humanos sería no solo difícil, si no imposible.
Las técnicas avanzadas de IA y ML, como el análisis de big data, pueden ayudar a detectar el malware y las amenazas avanzadas con un gran grado de precisión, incluidas las mutaciones y variantes. Y, por último, la IA y el ML pueden mejorar la automatización de la seguridad codificando muchas tareas rutinarias y repetitivas en playbooks (o flujos de trabajo), lo que permite al personal del SOC centrarse en la resolución de amenazas y en otros esfuerzos de misión crítica.
Afirmaciones de IA en ciberseguridad que están sobredimensionadas
A pesar de lo prometedoras que resultan la IA y el ML para la ciberseguridad, algunas afirmaciones deben tomarse con cautela. Por ejemplo, existe preocupación en temas de AGI (Inteligencia General Artificial) donde se dice que las soluciones de IA autónomas no requieren intervención humana, sin embargo, se debe actuar con reserva ante cualquier cosa que pretenda sustituir por completo las maravillosas capacidades de la mente humana.
Otra área de preocupación es la de las tecnologías de seguridad aumentadas por la IA que pueden alertar sobre amenazas potenciales, pero sin el contenido de apoyo forense o causal para proporcionar contexto a los administradores de seguridad. Esto dejaría al ya sobrecargado equipo de seguridad con aún más metadatos que revisar en un intento de descubrir si una amenaza es real, o no.
La IA en manos de los hackers
Hace tiempo que los atacantes han descubierto que si compran una determinada tecnología de detección basada en IA, pueden entrenar sus malwares para evitar ser descubiertos por ese dispositivo en particular. Del mismo modo, han aprendido a inyectar código malicioso a través del phishing y otros ataques que luego “infectarán” los datos utilizados por el sistema basado en IA para detectar comportamientos anómalos. En esencia, los datos infectados pueden enseñar a los motores de IA que los comportamientos extraños o aberrantes son normales.
Los actores maliciosos también están utilizando la IA para crear puertas traseras y para calibrar qué vulnerabilidad dentro de una red será el mejor vector de ataque, entre otras cosas.
¿La IA está a la altura de las circunstancias?
La respuesta es sí, pero con salvedades. Si se repasan los casos de uso expuestos anteriormente, se observará que cada uno de ellos se centra en la detección basada en el comportamiento. Independientemente de sus tácticas evasivas, el malware casi siempre muestra ciertos comportamientos, a menudo sutiles, que pueden discernirse analizando las enormes cantidades de datos que se generan en una red típica.
Y eso es precisamente lo que la IA y el ML hacen muy bien: digerir, correlacionar y analizar enormes cantidades de datos para detectar pequeños matices o indicadores de amenaza, que luego se pueden presentar al equipo de seguridad para que los investigue. La IA puede ayudar a agilizar los procesos y a realizar tareas repetitivas, a reducir de forma inteligente los falsos positivos y a disminuir la carga de trabajo del sobrecargado personal de TI y de seguridad.
