Inteligencia Artificial: ¿amiga o enemiga de la ciberseguridad?

Inteligencia Artificial: ¿amiga o enemiga de la ciberseguridad?

Derek Manky

Las estrategias de seguridad deben someterse a una evolución radical. Los dispositivos de seguridad del mañana necesitarán ver y operar internamente entre ellos para reconocer los cambios en los ambientes interconectados y así, de manera automática, sean capaces de anticipar los riesgos, actualizar y hacer cumplir las políticas. Los dispositivos deben tener la capacidad de monitorear y compartir información crítica y sincronizar sus respuestas para detectar amenazas.

¿Suena muy futurista? No realmente. Una nueva tecnología que recientemente ha acaparado la atención contiene las bases para dicho enfoque de automatización. Ésta ha sido llamada Seguridad de Redes Basada en la Intención (Intent-Based Network Security –IBNS-). Esta tecnología provee visibilidad extendida a través del total de la red distribuida y permite que las soluciones integradas de seguridad se adapten automáticamente a los cambios de las configuraciones de la red y cambien las necesidades con una respuesta sincronizada contra amenazas.

Estas soluciones también pueden dividir de forma dinámica los segmentos de la red, aislar los dispositivos afectados y deshacerse del malware. De igual manera, las nuevas medidas y contramedidas de seguridad pueden abastecerse y actualizarse automáticamente, conforme se muevan o desplieguen nuevos dispositivos, servicios y cargas de trabajo desde y hacia cualquier parte dentro de la red y desde los dispositivos hasta la nube. La estrechamente integrada seguridad automatizada permite una respuesta general contra amenazas mucho mayor que el total de todas las soluciones individuales de seguridad que protegen la red.

La inteligencia artificial y el aprendizaje mecánico se han vuelto aliados significativos para la ciberseguridad. El aprendizaje mecánico será reforzado por los dispositivos repletos de información del Internet de las Cosas y por las aplicaciones predictivas que ayudan a salvaguardar la red. Pero asegurar esas “cosas” e información, las cuales son objetivos o puntos de entrada ya listos para los cibercriminales, es un desafío por sí mismo.

La calidad de la inteligencia

Uno de los retos más grandes de utilizar inteligencia artificial y aprendizaje mecánico reside en el calibre de la inteligencia. Hoy día, la inteligencia contra ciberamenazas es altamente proclive a falsos positivos debido a la naturaleza volátil del IoT. Las amenazas pueden cambiar en cuestión de segundos, un dispositivo puede ser vaciado en un parpadeo, infectar el siguiente y regresar a vaciar de nuevo en un ciclo completo de muy baja latencia.

Mejorar la calidad de la inteligencia contra amenazas es sumamente importante ya que los equipos de TI transfieren cada vez más control a la inteligencia artificial para realizar el trabajo que ellos, de otra manera, deberían hacer. Este es un ejercicio de confianza y en éste reside un desafío único. Como industria, no podemos transferir el control total a un dispositivo automatizado, pero necesitamos equilibrar el control operativo con la ejecución esencial que pueda ser realizada por el personal. Estas relaciones laborales realmente harán que la inteligencia artificial y las aplicaciones de aprendizaje mecánico para defensa cibernética sean realmente efectivas.

Debido a que aún existe una escasez de talento en ciberseguridad, los productos y servicios deben desarrollarse con una mayor automatización con el fin de correlacionar la inteligencia contra amenazas y así, determinar el nivel de riesgo para sincronizar de manera automática una respuesta coordinada. Frecuentemente, para el momento en que los administradores tratan de enfrentar un problema por ellos mismos, ya es demasiado tarde, incluso provocando un problema mayor o generando más trabajo. Esto puede manejarse automáticamente, utilizando un intercambio directo de inteligencia entre los productos de detección y prevención o con mitigación asistida, la cual es una combinación de personas y tecnología trabajando en conjunto. La automatización también permite que los equipos de seguridad asignen más tiempo a los objetivos comerciales de la empresa, en lugar de pasar tiempo en la rutinaria administración de la ciberseguridad.

En el futuro, la inteligencia artificial en ciberseguridad se adaptará constantemente al crecimiento de la superficie de ataque. Hoy, apenas estamos conectando los puntos, compartiendo información y aplicando esa información a los sistemas. Las personas están tomando estas complejas decisiones, mismas que requieren una correlación de inteligencia proveniente de los humanos. Se espera que en los próximos años, un sistema maduro de inteligencia artificial pueda ser capaz de tomar decisiones complejas por sí mismo.

Lo que no es factible es la automatización total; esto es, transferir el 100% del control a las máquinas para que ellas tomen las decisiones todo el tiempo. Las personas y las máquinas deben trabajar juntos. La siguiente generación de malware “consciente” utilizará inteligencia artificial para comportarse como un humano, realizar actividades de reconocimiento, identificar objetivos, elegir los métodos de ataque y evadir de forma inteligente los sistemas de detección.

Tal como las organizaciones pueden usar inteligencia artificial para mejorar su postura de seguridad, los criminales cibernéticos también pueden empezar a usarla para desarrollar malware más inteligente. El malware autónomo, así como las soluciones inteligentes de defensa, está guiado por el conjunto y análisis de inteligencia ofensiva tales como los tipos de dispositivos desplegados en el segmento de una red, flujo de tráfico, aplicaciones que están siendo usadas, detalles de transacciones o la hora del día en que éstas ocurren. Entre más tiempo permanezca una amenaza dentro de la red, tendrá mucha más capacidad de operar independientemente, mezclarse dentro del ambiente, seleccionar herramientas basándose en la plataforma que tiene como objetivo y, eventualmente, tomar contramedidas basadas en las herramientas de seguridad que se encuentren en el lugar.

Esta es, precisamente, la razón por la que se necesita un enfoque donde las soluciones de seguridad para redes, accesos, dispositivos, aplicaciones, centros de datos y nube trabajan en conjunto como un todo integrado y de colaboración, combinado con inteligencia ejecutable para mantener una postura fuerte en relación a la seguridad autónoma y defensa automatizada.