La explotación de la máquina de aprendizaje de la ciberseguridad

Gracias a las tecnologías que generan, almacenar y analizar grandes conjuntos de datos, las empresas son capaces de realizar tareas que antes eran imposibles. Pero la ventaja añadida viene con sus propios contratiempos, concretamente desde el punto de vista de la seguridad.

Con gran cantidad de datos que se generan y se transfieren a través de redes, expertos en ciberseguridad tendrán un tiempo difícil el seguimiento de todo lo que se intercambia - amenazas potenciales pueden fácilmente pasar desapercibido. La contratación de más expertos en seguridad podría ofrecer un alivio temporal, pero la industria de la seguridad cibernética ya se ocupa de una brecha de talento cada vez mayor, y las organizaciones y las empresas se ven en apuros para cubrir los puestos vacantes de seguridad.

La solución podría estar en el aprendizaje de máquina, el fenómeno que está transformando a un número creciente de industrias y se ha convertido en la palabra de moda en Silicon Valley. Sin embargo, mientras más y más puestos de trabajo se perderán a los robots y la inteligencia artificial, es concebible para transmitir a las máquinas de una responsabilidad tan complicado como la seguridad cibernética? El tema está siendo debatida por los profesionales de la seguridad, con fuertes argumentos en ambos extremos del espectro. Mientras tanto, las empresas de tecnología y proveedores de seguridad están buscando maneras de añadir esta tecnología caliente a su arsenal de seguridad cibernética.

¿Quimera o realidad?

Simon Crosby, director de tecnología de Bromium, exige el aprendizaje de la quimera de la seguridad cibernética de la máquina, con el argumento de que "no hay ninguna bala de plata en la seguridad." Lo que respalda este argumento es el hecho de que en la seguridad cibernética, que está siempre en contra de algunos de las más tortuosas mentes, las personas que ya saben muy bien cómo las máquinas y obras de aprendizaje automático y la forma de eludir sus capacidades. Muchos ataques se llevan a cabo a través de los pasos minúsculos y poco visibles, a menudo ocultos bajo la apariencia de peticiones y órdenes legítimas.

Otros, como Mike Paquette, vicepresidente de productos en Prelert, argumentan que el aprendizaje de la máquina es la respuesta de la seguridad cibernética a la detección de infracciones avanzada, y brillarán en la obtención de los entornos de TI, ya que "crecen cada vez más complejo" y "se está produciendo más datos que el cerebro humano tiene la capacidad de monitorear "y se convierte en casi imposible" para evaluar si la actividad es normal o malintencionado ".

Stephan Jou, director de tecnología de Interset, es un defensor de la seguridad cibernética máquina de aprendizaje de propulsión. AI reconoce que todavía no está listo para reemplazar a los humanos, pero puede impulsar los esfuerzos humanos mediante la automatización del proceso de reconocimiento de patrones.

Lo que es innegable es que el aprendizaje de máquina tiene casos de uso muy distintos en el ámbito de la seguridad cibernética, e incluso si no es una solución perfecta, que está ayudando a mejorar la lucha contra el delito cibernético.

Aprendizaje automático asistido

El argumento principal en contra de soluciones de seguridad automática por la máquina de aprendizaje no supervisado es que batir hacia fuera demasiados falsos positivos y alertas, lo que resulta efectiva en la fatiga de alerta y una disminución de la sensibilidad. Por otro lado, la cantidad de datos y eventos generados en redes corporativas están más allá de la capacidad de los expertos humanos. El hecho de que ninguno de ellos puede soportar la carga de las ciberamenazas luchando solo ha llevado al desarrollo de soluciones en las que la IA y los expertos humanos unen sus fuerzas en lugar de competir entre sí.

Ciencias de la Computación del MIT y el Laboratorio de Inteligencia Artificial (CSAIL) ha dado lugar a uno de los esfuerzos más notables en este sentido, el desarrollo de un sistema llamado AI2, una plataforma de seguridad cibernética adaptativo que utiliza aprendizaje automático y la asistencia de expertos analistas de adaptar y mejorar con el tiempo.

El sistema, que toma su nombre de la combinación de la inteligencia artificial y la intuición analista, revisa los datos de decenas de millones de líneas de registro cada día y destaca todo lo que encuentre sospechoso. Los datos filtrados se pasa luego a un analista humano, que proporciona información al AI2 mediante el etiquetado de amenazas legítimas. Con el tiempo, el sistema de ajuste fino de su seguimiento y aprende de sus errores y aciertos, llegando a ser mejor en la búsqueda de infracciones reales y reducir los falsos positivos.

plomo Investigación Kaylan Veeramachaneni dice: "En esencia, el mayor ahorro aquí es que somos capaces de mostrar el analista sólo hasta 200 o hasta 100 eventos por día," que es considerablemente inferior a las decenas de miles de eventos de seguridad que tienen expertos en ciberseguridad para hacer frente a todos los días.

La plataforma se puso a prueba durante un período de 90 días, sufrió una dosis diaria de 40 millones de líneas de registro generados a partir de un sitio de comercio electrónico. Después de la formación, AI2 fue capaz de detectar 85 por ciento de los ataques sin ayuda humana.

Proveedor finlandés de seguridad F-Secure es otra empresa que ha puesto sus apuestas en la combinación de la inteligencia humana y la máquina en sus esfuerzos de seguridad cibernética más recientes, lo que reduce el tiempo que se tarda en detectar y responder a los ataques cibernéticos. En promedio, se tarda varios meses las organizaciones a descubrir una violación. F-Secure quiere reducir el plazo de 30 minutos con su servicio de detección rápida.

El sistema recoge datos de una combinación de software instalado en las estaciones de trabajo del cliente y sensores colocados en segmentos de red. Los datos se introducen en inteligencia de amenazas y análisis de comportamiento motores, que utilizan el aprendizaje de máquina para clasificar las muestras entrantes y determinar el comportamiento normal e identificar los valores atípicos y anomalías. El sistema utiliza el análisis en tiempo casi real para identificar las amenazas de seguridad conocidas, análisis de datos almacenados para comparar las muestras con los datos históricos y análisis de grandes volúmenes de datos para identificar las amenazas en evolución a través de los conjuntos de datos anónimos recogidos de un gran número de clientes.

En el corazón del sistema es un equipo de expertos en ciberseguridad que van a ir a través de los resultados del análisis de aprendizaje automático y, finalmente, identificar y manejar los incidentes de seguridad. Con la mayor parte del trabajo que lleva a cabo el aprendizaje de máquina, los expertos e ingenieros de software pueden llegar a ser mucho más productivo y se centran en conceptos más avanzados, tales como la identificación de las relaciones entre las amenazas, los ataques de ingeniería inversa y la mejora de todo el sistema.

"El componente humano es un factor importante," dice Erka Koivunen, asesor de seguridad cibernética en F-Secure. "Los atacantes son humanos, por lo que para detectarlas no se puede confiar en las máquinas solo. Nuestros expertos saben cómo los atacantes piensan, las mismas tácticas que utilizan para ocultar su presencia de medios de detección estándar ".

Moviéndose a través de los datos no estructurados

Si bien los datos recogidos de puntos finales y el tráfico de red ayuda en la identificación de amenazas, que sólo representa una pequeña parte de la imagen de seguridad cibernética. Una gran cantidad de la inteligencia y la información necesaria para detectar y proteger a las empresas contra las amenazas emergentes radica en los datos no estructurados, tales como blogs, artículos de investigación, noticias y mensajes de redes sociales. Ser capaz de dar sentido a estos recursos es lo que da expertos en ciberseguridad la ventaja sobre las máquinas.

El gigante tecnológico IBM quiere llenar este vacío mediante el aprovechamiento de las capacidades de procesamiento de lenguaje natural de su buque insignia de la plataforma de inteligencia artificial Watson. La compañía tiene la intención de aprovechar las capacidades únicas de Watson a examinar minuciosamente los datos no estructurados para leer y aprender de miles de documentos de seguridad cibernética al mes, y aplicar ese conocimiento para analizar, identificar y prevenir las amenazas de ciberseguridad.

"La diferencia entre la enseñanza fascinante Watson y la enseñanza de uno de mis hijos," Caleb Barlow, vicepresidente de seguridad de IBM, a Wired, "es que Watson nunca se olvida."

La combinación de esta capacidad con los datos que ya se están recogidos por la plataforma de inteligencia de amenazas de IBM X-Force Exchange, la empresa quiere hacer frente a la escasez de talento en la industria, elevando el nivel de eficiencia de Watson a la de un asistente experto y ayudar a reducir la tasa de falsos positivos.

Sin embargo, Barlow no cree que Watson está aquí para reemplazar a los humanos. "No se trata de la sustitución de los seres humanos, sino de hacer que los superhumanos", dijo en una entrevista con la fortuna.

Si el experimento tiene éxito, Watson debe desplegar a los clientes empresariales a finales de este año como un servicio en la nube llamado Watson para la Seguridad Cibernética. Hasta entonces, tiene mucho que aprender acerca de cómo funciona la seguridad cibernética, la cual no es tarea fácil.

inicio ciberseguridad Massive Alianza utiliza un enfoque ligeramente diferente para obtener información de los datos no estructurados. Su Strixus plataforma de seguridad cibernética utiliza un conjunto de sofisticadas herramientas propietarias que anónimamente se reúnen los datos relativos a sus clientes desde la web superficie (motores de búsqueda públicos), web profunda (páginas no indexadas) y de la tela oscura (redes basadas en TOR).

Los datos recogidos se analizaron por un motor de la máquina de aprendizaje basado en la confianza que discierne la emoción general de contenido. La mecánica detrás de la tecnología incluyen motores matemáticos que producen modelos de adaptación de comportamiento de los agentes de amenaza y determinar el peligro que representan frente al cliente. Los resultados se presentaron finalmente a los analistas que procesan la información y la mancha riesgos potenciales.

Esta técnica da a la empresa de seguridad cibernética la capacidad única de controlar miles de millones de resultados sobre una base diaria, identificar y alertar sobre la publicación de información potencialmente perjudiciales para la marca y de forma proactiva detectar y prevenir los ataques y la pérdida de datos antes de que sucedan.

"Hasta la fecha, la inteligencia humana sigue siendo la forma más acentuada de la inteligencia y puede ser el más eficaz en una operación o una crisis específica", dice Brook Zimmatore, CEO de la compañía. "Sin embargo, se centran en la tecnología de aprendizaje automático a través de cualquier industria es vital que los esfuerzos humanos tienen sus limitaciones."

La inteligencia artificial reemplazará expertos en ciberseguridad?

Es todavía demasiado pronto para determinar si cualquiera de estos esfuerzos darán lugar a expertos en ciberseguridad ser totalmente sustituido por soluciones basadas en máquina-aprendizaje. Tal vez el equilibrio se desplazará en el futuro, pero, por el momento, los humanos y los robots no tienen otra opción que unirse contra las amenazas cada vez mayores que acechan en el ciberespacio.