Por Derek Manky Estratega global de Seguridad de Fortinet.
Derek Manky.
En un mañana no muy lejano, los dispositivos de seguridad necesitarán ver y operar internamente entre ellos para reconocer los cambios en los ambientes interconectados y así, de manera automática, ser capaces de anticipar los riesgos, actualizar y hacer cumplir las políticas.
¿Suena muy futurista? No realmente. Una nueva tecnología llamada “Seguridad de Redes Basada en la Intención (Intent-Based Network Security, IBNS), contiene las bases para dicho enfoque de automatización, proveyendo visibilidad extendida a través de toda la red distribuida y permitiendo que las soluciones integradas de seguridad se adapten automáticamente a los cambios de las configuraciones de la red y modifiquen las necesidades con una respuesta sincronizada contra amenazas.
Estas soluciones también pueden dividir de forma dinámica los segmentos de la red, aislar los dispositivos afectados y deshacerse del malware. De igual manera, las nuevas medidas y contramedidas de seguridad pueden abastecerse y actualizarse automáticamente, conforme se muevan o desplieguen nuevos dispositivos, servicios y cargas de trabajo desde y hacia cualquier parte dentro de la red y desde los dispositivos hasta la nube. La estrechamente integrada seguridad automatizada permite una respuesta general contra amenazas mucho mayor que el total de todas las soluciones individuales de seguridad que protegen la red.
En este sentido, la inteligencia artificial y el “machine learning” (o aprendizaje automático o de máquinas) se han vuelto aliados significativos para la ciberseguridad. El aprendizaje automático será reforzado por los dispositivos repletos de información de la Internet de las Cosas (IoT) y por las aplicaciones predictivas que ayudan a salvaguardar la red. Pero asegurar esas “cosas” e información, las que son objetivos o puntos de entrada ya listos para los cibercriminales, es un desafío por sí mismo.
La calidad de la inteligencia
Uno de los retos más grandes de utilizar tecnologías de inteligencia artificial y aprendizaje de máquinas reside en el calibre de la inteligencia. Hoy día, la inteligencia contra ciberamenazas es altamente proclive a falsos positivos debido a la naturaleza volátil de la IoT. Las amenazas pueden cambiar en cuestión de segundos: un dispositivo puede ser vaciado en un parpadeo, infectar el siguiente y regresar a vaciarse de nuevo en un ciclo completo de muy baja latencia.
Mejorar la calidad de la inteligencia contra amenazas es sumamente importante, ya que los equipos de TI transfieren cada vez más control a la inteligencia artificial para realizar el trabajo que ellos, de otra manera, deberían hacer. Este es un ejercicio de confianza y en este reside un desafío único. Como industria, no podemos transferir el control total a un dispositivo automatizado, pero necesitamos equilibrar el control operativo con la ejecución esencial que pueda ser realizada por el personal. Estas relaciones laborales realmente harán que la inteligencia artificial y las aplicaciones de machine learning para defensa cibernética sean realmente efectivas.
Debido a que aún existe escasez de talento en ciberseguridad, los productos y servicios deben desarrollarse con una mayor automatización con el fin de correlacionar la inteligencia contra amenazas y así, determinar el nivel de riesgo para sincronizar de modo automático una respuesta coordinada.
Frecuentemente, para el momento en que los administradores tratan de enfrentar un problema por ellos mismos, ya es demasiado tarde, incluso provocando un problema mayor o generando más trabajo. Esto puede manejarse automáticamente, utilizando un intercambio directo de inteligencia entre los productos de detección y prevención o con mitigación asistida, la que es una combinación de personas y tecnología trabajando en conjunto. La automatización también permite que los equipos de seguridad asignen más tiempo a los objetivos comerciales de la empresa, en lugar de pasar tiempo en la rutinaria administración de la ciberseguridad.
En el futuro, la inteligencia artificial en ciberseguridad se adaptará constantemente al crecimiento de la superficie de ataque. Hoy, apenas estamos conectando los puntos, compartiendo información y aplicando esa información a los sistemas. Las personas están tomando estas complejas decisiones, mismas que requieren una correlación de inteligencia proveniente de los humanos. Se espera que en los próximos años, un sistema maduro de inteligencia artificial pueda ser capaz de tomar decisiones complejas por sí mismo.
Lo que no es factible es la automatización total; esto es, transferir el 100% del control a las máquinas para que ellas tomen las decisiones todo el tiempo. Las personas y las máquinas deben trabajar juntos. La siguiente generación de malware “consciente” utilizará inteligencia artificial para comportarse como un humano, realizar actividades de reconocimiento, identificar objetivos, elegir los métodos de ataque y evadir de forma inteligente los sistemas de detección.
Tal como las organizaciones pueden usar inteligencia artificial para mejorar su postura de seguridad, los criminales cibernéticos también pueden empezar a usarla para desarrollar malware más inteligente. El malware autónomo, así como las soluciones inteligentes de defensa, está guiado por el conjunto y análisis de inteligencia ofensiva, tales como los tipos de dispositivos desplegados en el segmento de una red, flujo de tráfico, aplicaciones que están siendo usadas, detalles de transacciones o la hora del día en que éstas ocurren. Entre más tiempo permanezca una amenaza dentro de la red, tendrá mucha más capacidad de operar independientemente, mezclarse dentro del ambiente, seleccionar herramientas basándose en la plataforma que tiene como objetivo y, eventualmente, tomar contramedidas basadas en las herramientas de seguridad que se encuentren en el lugar.
Esta es, precisamente, la razón por la que se necesita un enfoque donde las soluciones de seguridad para redes, accesos, dispositivos, aplicaciones, centros de datos y nube, trabajan en conjunto, como un todo integrado y de colaboración, combinado con inteligencia ejecutable para mantener una postura fuerte en relación a la seguridad autónoma y defensa automatizada.
