La firma de ciberseguridad Hillstone Networks hizo un análisis de la evolución de la Inteligencia Artificial (IA) y sus aplicaciones en la ciberseguridad, resaltando algunas sus técnicas de análisis, detección y respuesta a las amenazas.
Según voceros de la empresa la IA puede aliviar en gran medida la carga de los administradores de seguridad gracias a herramientas como el análisis del comportamiento de usuarios y entidades (UEBA) que, por ejemplo, puede ayudar a detectar a personas internas malintencionadas, así como a atacantes externos hostiles que se infiltran en la red y sus activos.
El análisis del tráfico de la red es otra área en la que la IA puede brillar; el volumen del tráfico de la red suele ser masivo y llevar a cabo un análisis exhaustivo y continuo que solo con esfuerzos humanos sería no solo difícil, sino imposible. Las técnicas avanzadas de IA y Machine Learning (ML), como el análisis de Big Data, pueden ayudar a detectar el malware y las amenazas avanzadas con un gran grado de precisión, incluidas las mutaciones y variantes.
La IA y el ML pueden mejorar los procesos de automatización de la seguridad codificando muchas tareas rutinarias y repetitivas en flujos de trabajo, lo que permite al personal del SOC centrarse en la resolución de amenazas y en otros esfuerzos de misión crítica.
Además, otra forma innovadora de aprovechar la IA es el PCA, o análisis de componentes principales, que se utiliza para crear modelos predictivos. Puede reducir los datos de alta dimensión -datos con demasiados atributos- en un gráfico 2D que es interpretable, mostrando cómo los componentes principales se correlacionan entre sí. La IA puede, entonces, aprovechar la correlación entre estos componentes principales para crear modelos predictivos o explorar cómo reaccionarían estos componentes en diversas situaciones.
En el ámbito de la ciberseguridad, el PCA puede identificar automáticamente las características de uso de la API para descubrir vulnerabilidades de día cero.
Otros métodos para aprovechar la IA son el uso de redes neuronales recurrentes para identificar vulnerabilidades de programas binarios, la agrupación de gráficos para permitir la detección de bots, basada en algoritmos generadores de dominio (DGA), el monitoreo multicapa (MLP) para detectar tráfico de red anormal, entre otras.
En el equipo de investigación de Hillstone, se estima que más proveedores dedicarán más recursos a la investigación en profundidad sobre cómo se puede aprovechar de forma creativa los sistemas con inteligencia artificial existente para mejorar las capacidades de detección, protección y respuesta de sus productos.
Hillstone Networks predice que se incrementará el uso de redes neuronales profundas para extraer automáticamente las características de los datos en bruto del lado de la red y del lado del host y así verificar los procesos que pueden automatizarse.
Además, aclara que la tecnología de detección de amenazas basada en el modelo de gráficas de redes neuronales (GNN) puede aprender de los datos estructurados en forma de gráfico, a diferencia de los datos tradicionales más lineales. Al aprender los patrones de flujo de los ataques, el modelo GNN puede detectar dinámicamente los ataques, incluso cuando modifican intencionadamente el tamaño de los paquetes y los tiempos de llegada para despistar a los métodos de detección tradicionales.
¿Está la IA a la altura de las circunstancias? Absolutamente. Si se repasan los casos de uso que se han expuesto, se observará que cada uno de ellos se centra en la detección basada en el comportamiento. Independientemente de sus tácticas evasivas, el malware casi siempre muestra ciertos comportamientos, a menudo sutiles, que pueden discernirse analizando las enormes cantidades de datos que se generan en una red típica.
Y eso es precisamente lo que la IA y el ML hacen muy bien: digerir, correlacionar y analizar enormes cantidades de datos para detectar pequeños matices o indicadores de amenaza, que luego se pueden presentar al equipo de seguridad para que los investigue.
La IA puede ayudar a agilizar los procesos y a realizar tareas repetitivas, a reducir de forma inteligente los falsos positivos y a disminuir la carga de trabajo del sobrecargado personal de TI y de seguridad.