El número cada vez mayor de ciberataques exitosos demuestra con qué frecuencia los atacantes logran sus objetivos a pesar de las modernas soluciones de prevención. Como resultado, la atención se centra cada vez más en las tecnologías que sirven para descubrir rápidamente los ataques en curso: NDR (Detección y respuesta de red). La inteligencia artificial (IA) y el aprendizaje automático (aprendizaje automático) juegan un papel importante aquí.
Sin embargo, dado que estos términos a menudo se confunden y el tema de "IA y ML" sigue siendo un libro cerrado para muchas empresas, Andreas Riepen, director de Europa Central y del Este de Vectra AI, llega al fondo de tres preguntas fundamentales.
¿Panacea o arma dirigida a las empresas?
Uno de los mitos más generalizados surge directamente de las posiciones extremas adoptadas en el debate sobre la eficacia de la IA y el ML como soluciones de ciberseguridad. En un extremo está el argumento de que AI y ML son la panacea para todos los problemas relacionados con la ciberseguridad. En el otro extremo está el argumento de que la IA y el ML no juegan ningún papel en la ciberseguridad. Desafortunadamente, la verdad real es mucho menos acaparadora de titulares y citada con menos facilidad por los departamentos de marketing. El hecho es que AI y ML por sí mismos no son una panacea para su Centro de operaciones de seguridad (SOC). Sin embargo, renunciar a AI y ML dejaría a su SOC andando a tientas en la oscuridad sobre una amplia gama de ataques actuales y futuros. Es fácil ver por qué este es el caso.
Las soluciones que no aprovechan la IA o el ML no pueden seguir el ritmo del panorama en constante cambio de las técnicas y herramientas de los atacantes. Otro problema (potencialmente más grave) es el hecho de que hay ciertas tareas que los humanos no pueden realizar por sí solos. Por ejemplo, los humanos no pueden observar una serie temporal de flujos de tráfico de red encriptados para predecir cuál de ellos podría contener un canal de comando y control oculto. Este tipo de tareas requiere soluciones de IA y ML que van más allá de las capacidades humanas.
Las soluciones de IA y ML deben ser mejores
Por otro lado, las soluciones que utilizan solo técnicas generales de IA y ML, desarrolladas sin contexto de seguridad y especificidad de dominio, tienden a buscar simplemente anomalías estadísticas en un entorno. Es probable que estas anomalías en sí mismas sean bastante comunes, aunque es muy poco probable que alguna de ellas sea maligna. Esto conduce a una mayor atención y costos operativos, y distrae la atención de los comportamientos reales de los atacantes, que a menudo están diseñados para parecer inofensivos. Confiar ciegamente en las soluciones de seguridad cibernética basadas en construcciones genéricas de IA y ML es como tratar de encontrar una aguja en un pajar agregando más heno primero.
Otro mito que continúa perpetuándose es la noción de que la IA ofensiva representa la mayor amenaza para un entorno. Si bien existen nuevas amenazas derivadas del uso de la IA en el ciberespacio (p. ej., el uso de la IA para generar texto humano creíble para campañas de phishing y la creación de falsificaciones, como predijimos hace unos años), la noción de que los sistemas basados en la IA se utilizan actualmente para fines Los ataques de extremo a extremo simplemente se separan de la realidad. Cualquiera que venda un producto de seguridad al cliente bajo la premisa de que los atacantes de IA son su principal amenaza, en lugar de atacantes humanos determinados y creativos, también puede tener una solución alternativa que están tratando de venderle.
Déficits humanos en tareas de ciberseguridad
Las organizaciones ven en la IA una oportunidad para eliminar por completo el déficit humano en las tareas de ciberseguridad. ¿Es esto realista? La respuesta a esta pregunta depende en gran parte de cómo se interprete la palabra arreglar. La escasez de expertos en ciberseguridad y los riesgos resultantes están fuera de toda duda. Esta deficiencia debería causar una preocupación profunda y duradera entre los involucrados en la seguridad nacional y la planificación económica. A medida que nuestras vidas dependen cada vez más de los sistemas digitales conectados, debemos enfrentar el hecho de que creamos nuevas superficies de ataque mucho más rápido de lo que capacitamos a los expertos para asegurar estos sistemas.
Teniendo esto en cuenta, es necesario señalar que AI y ML pueden desempeñar un papel claro para calmar la situación. En última instancia, hay dos razones por las que este es el caso: primero, AI y ML se pueden usar para reproducir ciertos aspectos del comportamiento humano. En segundo lugar, la IA y el ML se pueden usar para ir más allá de lo que los humanos son capaces de hacer. En el primer caso, es posible automatizar partes del flujo de trabajo de los profesionales de la seguridad. En el segundo caso, la IA y el ML se pueden utilizar para llamar la atención de los expertos sobre las amenazas reales en lugar de centrarse en comportamientos superficiales e inofensivos.
En última instancia, no hay forma de salir de la escasez de expertos en seguridad cibernética. Se necesita capacitar a más personas en esta área. Aún así, AI y ML jugarán un papel crucial para ayudar a los expertos a encontrar y remediar amenazas.
¿Qué se debe saber sobre las diferencias entre IA y ML en los sistemas de seguridad?
La distinción entre IA y ML probablemente se ha vuelto tan confusa que tratar de separar realmente los dos términos ya no sirve de mucho. Una vía mucho más importante y fructífera para las empresas es preguntarse si el tipo de tecnología en una solución dada está haciendo cosas que un ser humano por sí solo no podría hacer. ¿Ahorra tiempo para un analista humano? ¿O distrae la atención de los ataques reales que el analista espera descubrir? Atascarse en si se trata o no de IA o ML es como preocuparse por si los submarinos flotan o no. En última instancia, todo se reduce a si la solución funciona o no.
Más en Vectra.ai
Acerca de Vectra Vectra es un proveedor líder de detección y respuesta a amenazas para empresas híbridas y de múltiples nubes. La plataforma Vectra utiliza IA para detectar rápidamente amenazas en la nube pública, aplicaciones de identidad y SaaS y centros de datos. Solo Vectra optimiza la IA para reconocer los métodos de los atacantes, las TTP (tácticas, técnicas y procesos) que subyacen en todos los ataques, en lugar de simplemente alertar sobre "diferentes".