Los equipos de seguridad de TI de hoy luchan por dar sentido a las enormes cantidades de datos que generan y consumen las infraestructuras de TI modernas, al mismo tiempo que priorizan y responden a las alertas. Esta enorme responsabilidad es una de las razones por las que los tiempos de detección y remediación son tan escasos. De hecho, un ataque malicioso tiene un ciclo de vida promedio de 314 días desde la violación hasta la contención, según el «Informe sobre el costo de una violación de datos de 2019» de IBM.

Las comprobaciones e intervenciones manuales y semiautomáticas no pueden seguir el ritmo de un panorama de amenazas en constante evolución. Y, con el costo promedio de una violación de datos estimado en $ 150 por registro perdido, según el estudio de IBM, se puede presentar un caso sólido para automatizar muchas tareas de seguridad. Considere cómo el mismo estudio encontró que las organizaciones sin automatización de la seguridad experimentaron costos de incumplimiento que eran un 95 % más altos que aquellas con automatización completamente implementada y el caso se fortalece.

Aunque la IA y el Machine Learning se han utilizado en productos de seguridad durante algún tiempo, se están volviendo cada vez más importantes en la orquestación moderna de respuesta a incidentes. La automatización es fundamental para la detección de amenazas de día cero, en particular, ya que puede reducir los tiempos de respuesta de los ataques cibernéticos a milisegundos. Fundamentalmente, la IA también ayuda a los equipos de seguridad a tomar decisiones más informadas.

En un estudio del Instituto de Investigación de Capgemini, el 69 % de los altos ejecutivos encuestados dijeron que no podrían responder a un ciberataque sin IA. El mismo estudio encontró que dos tercios de las organizaciones planean emplear IA para 2020. Curiosamente, muchas organizaciones clasificaron a la IA como un medio para aumentar los ingresos o reducir los costos. Esta tendencia de automatización de la ciberseguridad incluye grandes empresas notables, como Amazon, Microsoft y Google, que están incorporando IA en sus servicios basados en Internet.

Automatización de la gestión de identidades y accesos

A medida que más organizaciones implementen marcos de seguridad de confianza cero, la administración de identidades y accesos (IAM) será más importante que nunca. Teniendo en cuenta el nuevo perímetro de seguridad, las tendencias de automatización de la ciberseguridad probablemente incluirán más avances en el uso de la IA para mejorar la eficacia de la IAM. Por ejemplo, las contraseñas seguras y efectivas no son prácticas para el uso diario. Esto a menudo posiciona las contraseñas débiles como la única medida de seguridad que se interpone entre los datos de un usuario y un ciberdelincuente.

Las tendencias de automatización de la ciberseguridad incluirán una mayor precisión de la autenticación biométrica. Esta tecnología proporcionará una autenticación constante al monitorear y analizar las actividades del usuario, como escribir y los movimientos del mouse. La IA y el aprendizaje automático en ciberseguridad también determinarán si una cuenta está actualmente comprometida o bajo amenaza de compromiso.

Otra tendencia creciente es la combinación de algoritmos supervisados y aprendizaje no supervisado. Este método resulta eficaz para identificar comportamientos anómalos y desencadenar un acceso reducido o restringido. Es importante entender las diferencias entre los dos tipos:

• Los algoritmos supervisados extraen y aprenden de los patrones en los datos existentes para encontrar relaciones que no son perceptibles con los enfoques tradicionales basados en reglas. La identificación de relaciones permite la evaluación y puntuación de riesgo de nuevos archivos que el algoritmo no ha encontrado antes, como las amenazas de día cero.
• El aprendizaje no supervisado encuentra anomalías, interrelaciones y vínculos entre conjuntos de datos no etiquetados o factores y variables emergentes para extraer patrones ocultos. Esto puede conducir a predicciones de amenazas, un trabajo casi imposible para los analistas humanos.

La inteligencia artificial y el ML en ciberseguridad desempeñarán un papel aún más importante en la protección de toda la experiencia del cliente, desde la creación de la cuenta y el inicio de sesión hasta la interacción con el servicio. Continuarán mejorando el proceso de asignación de puntajes de riesgo a los intentos de inicio de sesión. También adaptarán las respuestas a la naturaleza y el contexto de los eventos sospechosos, en lugar de bloquear a un usuario o finalizar una sesión. Las aplicaciones en general serán más eficientes a la hora de reconocer las actividades genuinas del usuario y del sistema, al mismo tiempo que contienen y mitigan las amenazas reales.

IA, Machine Learning y el Edge

De la misma manera que la informática perimetral ha acercado los recursos informáticos, de almacenamiento y de conectividad de red a los dispositivos remotos, los modelos de inteligencia artificial y Machine Learning se colocarán en los puntos finales. Estos modelos contarán con capacidades colaborativas para compartir información que permitirán una identificación y terminación de amenazas mucho más rápidas en tiempo real. Para que la futura tecnología de ciberseguridad de IA y ML tenga éxito, será necesario mejorar la calidad de los diversos conjuntos de datos con los que trabajan los productos. Los datos enriquecidos semánticamente brindan más opciones para una extracción significativa y permiten que los algoritmos produzcan predicciones más precisas.

Al igual que con cualquier tecnología, la IA y el aprendizaje automático se pueden usar para bien y para mal. Los ciberdelincuentes ya aprovechan el poder de la IA para analizar las defensas de la red y simular patrones de comportamiento para eludir los controles de seguridad. La batalla para proteger los sistemas impulsados por IA para que no se vean comprometidos ocupará un lugar central. Una amenaza importante para la tecnología de IA es el envenenamiento de datos de entrenamiento, cuando los malos actores acceden a los datos de entrenamiento y los alimentan con datos incorrectos, lo que resulta en decisiones erróneas. Según Gartner, el 30 % de todos los ciberataques de IA utilizarán envenenamiento de datos de entrenamiento, robo de modelos de IA o muestras adversarias para atacar sistemas impulsados por IA.

Afortunadamente, la IA y el ML permiten a las organizaciones proteger las cuentas de sus usuarios con algo más que una contraseña. Por esta razón, los sistemas impulsados por inteligencia artificial y aprendizaje automático parecen estar preparados para ser un aspecto central de las futuras inversiones en infraestructura de TI. Tenga en cuenta que requerirán hardware y software especializados, así como equipos dedicados con las habilidades para administrar modelos de IA y aprendizaje automático y comprender la precisión, los atributos y las estadísticas del modelo utilizado para llegar a conclusiones.

Para gastar los presupuestos de manera inteligente, las organizaciones deberán comprender las diferentes opciones disponibles para elegir las tecnologías adecuadas para sus entornos particulares. Incluso con las capacidades de inteligencia artificial y aprendizaje automático para automatizar las operaciones de seguridad y aumentar las tasas de detección, las organizaciones aún necesitan equipos humanos para poder comprender el alcance, la gravedad y la veracidad de las amenazas encontradas y preparar una respuesta efectiva.

imagen: @biancoblue