Machine Learning y seguridad: un punto de inflexión en la detección de amenazas
29/07/2020
Si buscas especializarte en una rama de Machine Learning y te interesa la seguridad informática, es importante que conozcas el papel que actualmente juega esta tecnología en la protección de múltiples sistemas.
Un dato no menor es que las empresas y organizaciones están inundadas con miles de millones de eventos de seguridad todos los días, demasiados para que los analistas humanos puedan enfrentarlos.
Machine Learning está cambiando el enfoque de las organizaciones para la detección de amenazas y también cómo se adaptan y adoptan los procesos de ciberseguridad. La idea no es solo identificar y prevenir amenazas, sino también mitigarlas.
Una de las ventajas es poder comprender las amenazas en tiempo real, comprender la infraestructura de una empresa y su diseño de red y vectores de ataque, para protegerla y defenderla con talento humano y el poder de procesamiento de los ordenadores.
Desde una perspectiva de detección de amenazas, Machine Learning plantea un gran cambio de paradigma por los siguientes motivos que debes conocer:
Reducción de falsos positivos
Un modelo puede ser entrenado con diferentes tipos de ataques, puede aprender los métodos para obtener acceso privilegiado y movimientos laterales, e incluso puede adaptarse en tiempo real a una situación. Una excelente idea es hacer que el modelo aprenda de los falsos positivos.
Siempre existirán falsos positivos, pero se reducen con cada interacción con un modelo porque el ordenador está aprendiendo continuamente. Después de implementar un sistema de Machine Learning, los falsos positivos se pueden reducir en un 50% a 90%.
Mientras el modelo de Machine Learning disminuye los falsos positivos, puede aumentar al mismo tiempo la velocidad a la que se detectan las amenazas. Esto puede reducir drásticamente la ventana de compromiso para un sistema.
La mayoría de los elementos en el marco de seguridad cibernética del NIST (detectar, proteger, responder, identificar y recuperar) se pueden acelerar a través de Machine Learning.
Por otro lado, la tecnología que aporta Machine Learning no solo puede detectar amenazas rápidamente, sino que puede detectar el 90% o más de todas las amenazas conocidas y desconocidas con aprendizaje reforzado y sin supervisión.
Cerrando la puerta a los atacantes
Aunque Machine Learning no puede predecir ataques futuros, es muy bueno para predecir el próximo movimiento de un adversario una vez que se detecta un ataque. Eso le permite cerrar rápidamente la puerta ante una intrusión. Si un recurso abre una conexión a una dirección IP maliciosa conocida, por ejemplo, Machine Learning puede reconocer eso y cerrarlo automáticamente antes de que se filtren datos.
Eso es porque lo que un atacante hará después de penetrar en un sistema es ampliamente conocido. La Mitre Corporation, por ejemplo, ha desarrollado una lista completa, que se actualiza constantemente, de comportamientos adversos basados en la observación del mundo real. Llamado Mitre ATT & CK, es una representación integral de los comportamientos que emplean los atacantes cuando comprometen las redes.
Es por eso que en el juego de ajedrez entre adversario y defensor, una vez que un atacante realiza un movimiento, todos los resultados de ese movimiento pueden determinarse a través de Machine Learning y marcarse o bloquearse.
Los atacantes descubren Machine Learning
Aún así, los ciberdelincuentes no son tontos. Se dan cuenta de que ellos también pueden usar Machine Learning para automatizar sus ataques y eliminar la mayoría de las intervenciones humanas. Pueden escribir un algoritmo, entrenarlo con un patrón de ataque y, mientras el ordenador está ejecutando sus salidas, pueden relajarse y esperar el resultado del ataque.
Es por eso que los defensores necesitan usar Machine Learning en cada vector de ataque, en las puertas de enlace, en los puntos finales, en la nube, porque si hay una brecha en las defensas de un sistema, el algoritmo de Machine Learning de un adversario lo encontrará.
El nuevo ciberdelincuente no es un niño en un sótano oscuro con un ordenador. A menudo es un grupo criminal que usa Machine Learning para lanzar ataques a gran escala contra miles de empresas con solo hacer clic en un botón virtual.
Esos ataques también pueden ser altamente selectivos. Por ejemplo, en el código del virus Petya / NotPetya, que interrumpió las actividades en las grandes empresas de los Estados Unidos y Europa en junio de 2017, había instrucciones de que si ciertos programas antivirus u otras medidas de seguridad estuvieran vigentes en un sistema, deberían ser ignorado y el virus debería pasar a un nuevo sistema.
Después de todo, cuando está atacando millones de sistemas, ¿por qué perder el tiempo con aquellos que toman en serio la seguridad?
Colaboración hombre-máquina
Si bien los ordenadores son muy buenos para identificar y mitigar amenazas, nunca podrán hacer el 100% del trabajo. Necesita analistas humanos para confirmar algunas acciones, tomar decisiones finales e identificar excepciones. Pero con un millón de trabajos de ciberseguridad a nivel mundial que necesitan llenarse, no hay suficientes analistas para todos.
La gran mayoría de las tareas con las que los analistas de seguridad se enfrentan ahora es el trabajo de clasificación, clasificando las amenazas para encontrar aquellas que necesitan un mayor escrutinio. Afortunadamente, ese tipo de trabajo se puede hacer con Machine Learning de una manera efectiva y eficiente, liberando el tiempo de los analistas para abordar amenazas graves.
Este campo está experimentando una gran expansión y el requerimiento de las empresas por estos perfiles está en auge, por lo que quizás pueda ser una gran oportunidad para ti.
0 comentarios