El aprendizaje automático es simplemente el avance de las computadoras de máquinas "estúpidas" que no pueden aprender nada nuevo sin estar programadas en máquinas "inteligentes" que sí pueden. Especialmente con respecto a la seguridad, ML se ha convertido en una herramienta indispensable porque analiza de manera proactiva grandes cantidades de datos para crear patrones que no solo se pueden usar para identificar sino también predecir de dónde viene un ataque. Sin embargo, la mala noticia es que los chicos malos tienen más o menos la misma tecnología, por lo que el uso de herramientas de seguridad de aprendizaje automático no es una opción, es una necesidad.
Aprendizaje automático en malware
Usemos malware como ejemplo aquí. Su malware promedio está diseñado para actualizarse cada vez que se detecta y, por lo tanto, cambia su "comportamiento" para evitar la detección. Eso suena como ML. De hecho, algunas instancias de malware pueden cambiar su comportamiento en menos de 24 horas, lo que las hace difíciles de detectar incluso para algunos modelos de aprendizaje automático que a menudo no se vuelven a entrenar. Además, los ataques no se limitan a malware o estafas de phishing, y ahora estamos viendo el uso de una serie de paradigmas no convencionales como la computación en la nube, IoT, ataques sin archivos e incluso algunos que se ejecutan en IA.
La buena noticia es que el uso del aprendizaje automático en seguridad se está convirtiendo rápidamente en el estándar de la industria, incluso los nombres más importantes en seguridad convencional como Symantec están ingresando y ofreciendo herramientas de seguridad de aprendizaje automático. Esto es extremadamente importante, especialmente porque la pandemia actual, el bloqueo resultante y la nueva fuerza de trabajo remota sin precedentes han dado a los piratas informáticos de todo el mundo el área objetivo más grande que jamás hayan visto. Si bien la mayoría de las personas confían en las VPN que son buenas pero de ninguna manera integrales, veamos las herramientas de seguridad que realmente nos ofrecen la funcionalidad ML.
Detección de anomalías basada en ML
Wikimedia
Symantec TAA (Target Attack Analytics) proviene de los fabricantes de Norton Antivirus y está disponible para los clientes como parte del programa ATP o de protección avanzada contra amenazas. La forma en que funciona TAA es no seguir el camino tradicional y volver a entrenar y actualizar para mantenerse al día con las mutaciones de virus. Utiliza una plataforma en la nube habilitada para ML para detectar "anomalías" y corregirlas si es necesario. TAA también debe resumir la experiencia y las habilidades de los mejores analistas de seguridad en los llamados analistas virtuales que pueden apoyar, asesorar y aliviar al personal de seguridad.
Decir que el nuevo proyecto fue un éxito sería quedarse corto. Las organizaciones que utilizan TAA no solo han podido evitar ataques, sino que en algunos casos incluso han rastreado y descubierto la fuente. A principios de 2018, TAA ayudó a los investigadores a descubrir el ciberespionaje planeado contra telecomunicaciones, satélites y sistemas de defensa que definitivamente habrían pasado desapercibidos sin el uso de IA. Este nuevo enfoque basado en la nube también permite que los análisis se vuelvan a capacitar sin la necesidad de actualizaciones del producto cada vez que ocurre una nueva amenaza o mutación de amenaza.
Ningún lugar para esconderse
Este es un logro de seguridad importante porque los datos sobre ataques que han tenido lugar en el pasado no nos protegen de los futuros. En lugar de jugar al juego del gato y el ratón, lo que a menudo significa que los buenos están al menos una generación detrás de los últimos virus y sus mutaciones, el aprendizaje automático desatendido pasa a la ofensiva. Esto se hace no solo buscando constantemente un comportamiento "sospechoso", sino también revisando constantemente lo que ve como un comportamiento sospechoso. Esto limita el número de movimientos que un atacante potencial puede hacer sin ser notado.
Watson en la mezcla
IBM
Otra herramienta de seguridad interesante que ML utiliza para proteger las aplicaciones en la nube es el Asesor QRadar de IBM con Watson. Al igual que los analistas virtuales TAA de Symantec, Qradar Advisor se desarrolló con Watson para aliviar a los analistas de seguridad no solo al proporcionar información crítica sobre las operaciones diarias, sino también al negar de manera efectiva muchas tareas de trabajo asociadas con tareas rutinarias y repetitivas será . Esto se hace utilizando el pensamiento cognitivo que emerge del análisis cognitivo Watson de IBM. Esto también acelera efectivamente todo el ciclo de respuesta y brinda a los analistas la libertad de buscar proactivamente nuevas amenazas.
Estos datos no estructurados pueden abarcar desde sitios web hasta sitios web de seguridad y enormes cantidades de investigación. Esto acelera efectivamente todo el ciclo de respuesta mientras permite a los analistas buscar de manera proactiva nuevas amenazas. Otras características útiles incluyen la investigación automática de incidentes, el interrogatorio, los comentarios mejorados de Watson utilizando información externa y la optimización proactiva de su entorno para una mejor seguridad general. El análisis de comportamiento de usuarios o UBA es otra característica interesante que proporciona información sobre los usuarios internos e incluso puede proteger contra ataques internos al mostrar un comportamiento sospechoso.
Retiro total
Probablemente la oferta más avanzada en nuestra lista es Vectra Cognito, que utiliza inteligencia artificial, aprendizaje automático, ciencia de datos y análisis de comportamiento. Se compone de dos herramientas separadas, Cognito Detect y Cognito Recall. Cognito Detect se utiliza para encontrar amenazas y atacantes ocultos en tiempo real y para automatizar el proceso de detección de amenazas. Otras características incluyen protección automática de cuentas privilegiadas, seguimiento persistente de amenazas, investigaciones automáticas de seguridad e integración con firewalls y otras soluciones de punto final. Cognito Detect también ofrece un modelo de comportamiento que siempre está aprendiendo y, como su nombre indica, actualiza constantemente la forma en que se buscan y perciben nuevas amenazas.
La otra mitad de cognito, llamada recuperación, va más allá de los modelos de almacenamiento de datos tradicionales y a menudo inflexibles. A diferencia del uso de soluciones de almacenamiento patentadas, Recall está 100% basado en la nube, lo que le permite recopilar, almacenar y analizar tantos metadatos como sea necesario para la investigación o la resolución de problemas. El tamaño ilimitado es el más atractivo aquí, especialmente en la situación actual en la que cientos o incluso miles de empleados trabajan desde casa. Recall ofrece la transparencia necesaria para vigilar no solo todos los dispositivos nuevos, sino también las redes a través de las cuales viajan. Para este propósito, se almacenan los llamados metadatos de red "enriquecidos", que se analizan en busca de respuestas concluyentes.
Las herramientas de seguridad de aprendizaje automático son imprescindibles
Las herramientas de seguridad de aprendizaje automático han evolucionado rápidamente de una característica interesante a un término con el que todo el mundo se está familiarizando rápidamente, y ese término es "esencial". Con los ataques basados en AI, el malware oculto que puede pasar desapercibido y las técnicas evasivas basadas en AI que pueden engañar la detección del aprendizaje profundo, las opciones son "abordaje o secuestro".
Imagen seleccionada: Needpix
Las herramientas de seguridad después del aprendizaje automático: los buenos que respondieron por primera vez aparecieron en TechGenix.
Comentarios
Publicar un comentario