Seguridad

Incorporando la inteligencia artificial a nuestra estrategia de ciberseguridad

INTERPOL y Kaspersky Lab intercambiarán datos para combatir el cibercrimen

¿Cómo hemos pasado de la seguridad basada en firmas a los actuales modelos de inteligencia artificial y detección en tiempo real de nuestra estrategia de ciberseguridad? Te lo contamos en este reportaje.

La guerra entre los ciberdelincuentes y los equipos que se dedican a proteger los sistemas de información de las empresas es una batalla más que desigual: los segundos tienen que securizar el 100% de la compañía para evitar un ataque (algo imposible en la práctica) mientras que los segundos tan sólo deben encontrar un fallo, un minúsculo recoveco, por el que colarse para manipular, bloquear o destruir el despliegue TIC de la compañía.

Y, como en toda contienda, máxime si nos encontramos ante tamaña diferencia en los puntos de partida, es normal que el polo defensivo se arme de distintas técnicas para equiparar sus condiciones de lucha a la de sus enemigos.

En ese sentido, la ciberseguridad ha pasado por distintas etapas o metodologías de detección de amenazas, como ha detallado en una completa cronología Stella Luna, fundadora y CEO de Pentaquark Consulting, durante el evento Cybersec 2017.

La primera de estas fases de evolución fue la de la detección basada en firmas, donde las empresas utilizaban un conjunto de reglas para identificar amenazas mediante la observación de patrones de eventos específicos de ataques conocidos y documentados.

¿Cómo cambiará la inteligencia artificial en 2018?

En este paradigma, se emplean métodos de preprocesamiento como la inspección profunda de paquetes para el tráfico de la red para encontrar posibles firmas en el tráfico de la red que se ha capturado.

“Las firmas resultantes del entorno monitoreado se corresponden a firmas conocidas en una base de datos de la firma. Si se encuentra una coincidencia, se emite una alerta, y si no hay ninguna coincidencia, el detector no hace nada. Este método tiene menos falsos positivos pero debe actualizarse la base de dato con frecuencia”, explica la experta.

En un segundo estadio de evolución nos encontramos con la detección basada en anomalías. “Parte de la suposición de que las conductas de ataque difieren bastante de la actividad normal y que las acciones maliciosas pueden ser detectadas e identificadas“, añade Luna.

“Las herramientas con este método comienzan por crear modelos de patrones de comportamiento que representan el comportamiento normal para las redes, sistemas, aplicaciones, usuarios y dispositivos que componen el entorno en el que están instalados. Luego buscan las desviaciones o anomalías de este patrón”.

Ambos planteamientos se fusionan en uno solo cuando nos aproximamos a la última de estas fases; la de la seguridad basada en la inteligencia artificial. “Un sistema capaz de aprender crea una herramienta automática  de detección y gestión de amenazas, que es eficiente y eficaz y capaz de auto-mejora continua”, comenta esta científica de la seguridad.

Esta aproximación se basa en tres pilares fundamentales, como la captura de datos y extracción de características (los datos deben ser capturados y analizados, para lo que se utiliza un módulo de extracción de la característica para convertir los datos en bruto en vectores de funciones o conjuntos de datos), la detección en tiempo real (el cual determina si un patrón observado o una secuencia de patrones es normal o anormal, según va ocurriendo, basado en el modelo de detección y de cómo ha sido entrenado el sistema) y el machine learning.

Este último es el corazón del sistema, que contiene los diferentes algoritmos para la detección de anomalías, auditorías o enseñar a los datos (actualizándolos dinámicamente mediante análisis de humanos o los propios algoritmos de ML). “La selección de un algoritmo apropiado incluye varias consideraciones, todo ello puede afectar al desarrollo y a la validez de los resultados: precisión, tiempo de entrenamiento, uso de linealidad, número de parámetros y funciones”, concluye Stella Luna.

Estas serán las tendencias de ciberseguridad en 2018

La experta aportó algunos ejemplos de cómo se articula este nuevo concepto de seguridad basada en la inteligencia artificial. “Imaginémonos un sistema de detección de intrusiones inteligente, el cual sea capaz de rechazar, aceptar o redirigir la información de un servidor externo en base a si ésta proviene de un servidor infectado, si proviene de un servidor ‘privilegiado’ o si éste es limpio. En base a estos criterios, se aceptará la información, se enviará a un ‘sandbox’ o se rechazará directamente”.

Otro supuesto es el de la detección de amenazas automatizadas. “Las medidas de seguridad incluyen la identificación de la presencia del atacante y reducir su entorno operativo, la supervisión de los privilegios de acceso de los usuario, la reducción del espacio que pueda que ser aprovechado por el atacante, así como el endurecimiento de la seguridad o el control del software malicioso que pueda haber accedido a los servidores de comando y control”, explica Luna.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, La Razón, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016 y 2017.