Hay dos tipos de ciberataques: intentos oportunistas automatizados de penetrar en una red y ataques dirigidos de amenazas persistentes avanzadas (APT). Los primeros son mayoría y la inteligencia artificial (IA) puede bloquear automáticamente la mayoría de ellos. Pero detrás de una APT suele haber personas. La defensa contra tales ataques a nivel de red requiere tanto inteligencia artificial como expertos en seguridad.
Los piratas informáticos se identifican primero por los rastros de su malware en la red. Sin embargo, estos patrones de tráfico anómalos se pierden fácilmente en la masa de información. Si se les deja solos, el administrador de TI humano se siente abrumado cuando se trata de reconocerlos.
Sin embargo, reconocer es una cosa
La inteligencia artificial hace una importante contribución a la defensa, detectando anomalías en el tráfico de datos en tiempo real basándose en metadatos y luego haciendo sonar la alarma para desencadenar reacciones defensivas. Según los expertos de Splunk, la IA y las defensas cibernéticas automatizadas pueden detectar automáticamente el 90 % de los incidentes de seguridad de nivel 1 e iniciar la reparación.
La pregunta sigue siendo: ¿qué pasa con el XNUMX por ciento restante? Dado que los perpetradores humanos a menudo están detrás de ataques complejos, tanto la lógica humana como el juicio humano al analizar la información son esenciales para una defensa a prueba de futuro.
Valor agregado a través de analistas de seguridad de TI humanos
Ninguna ciberdefensa puede prescindir de la IA. Pero los observadores humanos todavía ofrecen una ventaja importante:
1. La IA y la inteligencia humana se complementan
La IA optimizada con aprendizaje automático (ML) e inteligencia de amenazas puede analizar grandes cantidades de información rápidamente y sin errores. El experto en seguridad de TI se basa en esto e interpreta los patrones de tráfico de datos. Al mismo tiempo, dirige la defensa mediante procesos probados y probados. Debido a su conocimiento de la empresa y de TI, también es un importante entrenador de IA. Aquí acelera la definición de transmisiones de datos normales y, por lo tanto, legítimas, entre otras cosas, al etiquetar sistemas críticos para la seguridad de TI. También tiene en cuenta esa información que no es visible en el tráfico de la red: si, por ejemplo, los dispositivos están disponibles pero no se gestionan de forma centralizada, o si una empresa establece una nueva sede, lo que explica las consultas con direcciones IP que eran inusuales hasta ese momento. punto. O cuando implementa nuevas tecnologías, aplicaciones y por ende sistemas.
2. Evaluar la información en contexto
La inteligencia artificial es un enfoque estadístico. Dado que reconocer, defenderse y prevenir los peligros requiere conexiones que van más allá de los datos individuales, las personas y su capacidad de juzgar juegan un papel importante. El conocimiento concreto de la empresa ayuda, por ejemplo, cuando un proveedor de servicios de TI encargado por una empresa actúa repentinamente en una subred para la que no tiene ningún pedido. Incluso si el patrón de tráfico de datos parece normal al principio, exceder las competencias puede indicar un proveedor de servicios de TI comprometido y debe verificarse.
3. Anticípate a los próximos movimientos del hacker
Las amenazas persistentes avanzadas complejas (APT) todavía son creadas por el hombre. Detrás de los ataques de phishing a personas importantes de la empresa, a menudo no hay robots de spam, sino profesionales humanos de la ingeniería social que ingresan a Internet a través de un archivo adjunto de correo electrónico dirigido. Luego, AI reconoce que un atacante humano está manipulando la red. Las tácticas individuales del hacker no se reflejan en los indicadores estadísticos. Para anticipar los próximos pasos del atacante, un analista de seguridad experimentado puede ponerse en el lugar del hacker y anticipar sus próximos movimientos.
4. Evaluar la motivación general del perpetrador
Una defensa cibernética debe considerar los motivos de un criminal. No todos los atacantes quieren robar datos, cifrarlos y recibir un rescate. Los piratas informáticos tienen diferentes motivos: el secuestro de recursos para minar bitcoins, quizás un sabotaje por motivos políticos o personales, o simplemente el deseo de destruir. Por lo tanto, una defensa no solo debe asegurar los datos o cerrar las fugas de información. Una respuesta sostenida requiere una comprensión de la psicología humana.
5. Seguridad relevante y priorizada en lugar de mecanismos automáticos de defensa
Un analista de seguridad de TI prioriza los riesgos individualmente para una empresa. La elección de la defensa depende del contexto: ¿son datos recuperables que ya no tienen ningún valor para la empresa o las tan citadas joyas de la corona? AI no puede responder las preguntas resultantes sobre una defensa adecuada a la situación dada la relevancia de los datos o procesos para el éxito comercial.
Además, el analista tiene ojo para los ataques típicos de la industria. Si los piratas informáticos están atacando actualmente al minorista electrónico X con malware, no se puede descartar que luego intenten con el competidor Y y Z. Una IA que solo vigila su propia red solo ve ese riesgo si cuenta con el respaldo de inteligencia de amenazas actualizada.
6. Liderar las defensas y evitar daños colaterales
Una IA tiene grandes fortalezas para reconocer un peligro y puede iniciar automáticamente una defensa. Sin embargo, cada defensa tiene efectos secundarios y puede perjudicar los procesos comerciales o de TI. La defensa puede no ser menos compleja y consecuente que APT. Por lo tanto, aquí se demandan analistas de seguridad porque pueden considerar y sopesar las consecuencias de las acciones. La experiencia humana puede evitar daños colaterales injustificables, como bloquear el acceso a edificios controlado por IoT o los sistemas de TI en enfermería.
Al realizar el seguimiento de un ataque, un analista de seguridad tiene un importante papel de asesor. Usando una grabación reflejada de toda la red, puede comprender de manera forense lo que sucedió y cómo se pueden prevenir futuros ataques.
Los expertos en inteligencia artificial y seguridad dependen unos de otros
La seguridad informática sin IA es cosa del pasado. Sin embargo, el experto en seguridad no se volverá superfluo. Sigue siendo relevante como intérprete continuo de alarmas, como supervisor en situaciones de crisis y como asesor para seguridad informática preparada para el futuro. Cada "Detección y respuesta" se complementa idealmente con una "Detección y respuesta gestionada".
Más en ForeNova.com
Acerca de ForeNova ForeNova es un especialista en seguridad cibernética con sede en los EE. UU. que ofrece a las medianas empresas detección y respuesta de red (NDR) asequibles y completas para mitigar de manera eficiente el daño de las amenazas cibernéticas y minimizar los riesgos comerciales. ForeNova opera el centro de datos para clientes europeos en Frankfurt a. M. y diseña todas las soluciones conformes con el RGPD. La sede europea está en Ámsterdam.