Los profesionales de la seguridad llevan mucho tiempo esperando una solución que proporcione detección de amenazas por comportamiento en tiempo real a la escala de las redes corporativas modernas. Sin embargo, históricamente las empresas han tenido que depender de la detección de intrusiones en la red, que se limita a identificar patrones de vulnerabilidades conocidas, y de la protección de endpoints para identificar amenazas con capacidades de comportamiento limitadas mediante agentes. Aunque ambas soluciones pueden hacer parte del trabajo, se ven desafiadas por las amenazas avanzadas y de día cero. Esto ha dejado un enorme vacío en la visibilidad de la red para algunas organizaciones.
Por suerte, la investigación y el desarrollo de la tecnología de inteligencia artificial (IA) se han acelerado rápidamente en los últimos años. Los científicos e ingenieros han realizado importantes avances en muchos campos relacionados con la IA, como el aprendizaje automático, el procesamiento del lenguaje natural y la visión por ordenador. La IA ya se utiliza en diversos sectores, y es muy prometedora en el mundo de la ciberseguridad. Los sistemas de detección en red impulsados por la IA son capaces de identificar y responder a las amenazas mucho más rápido que los sistemas tradicionales, y mejoran a medida que la tecnología evoluciona.
La mayoría de las herramientas de detección y respuesta en red (NDR) disponibles hoy en día utilizan el aprendizaje automático no supervisado para detectar y responder a las amenazas de la red. Los sistemas NDR están entrenados para establecer los patrones normales en el tráfico de la red con el fin de identificar posteriormente la actividad fuera de esos patrones que puede indicar actividad maliciosa. Una vez que se detecta una amenaza, el sistema NDR puede tomar medidas para contener el ataque y notificar al equipo de seguridad.
Sin embargo, hoy en día la mayor parte del tráfico de red está cifrado. Esto significa que los NDR sólo pueden confiar en la información limitada de la cabecera del tráfico para el reconocimiento de patrones. Recientemente, con la introducción del último estándar de cifrado (TLS1.3), se ha vuelto más difícil para las herramientas de detección obtener visibilidad del tráfico de la red, ya que se está cifrando más información.
Para resolver este problema, se necesita un enfoque de automatización y etiquetado de patrones más experimentado para el patrón de huellas de tráfico. Además, la introducción de huellas de tráfico cifrado combinada con otras métricas como los indicadores de compromiso (IOC), aumenta el nivel de confianza del aprendizaje automático para detectar una posible amenaza.
Es importante entender que los archivos que fluyen en la red no se pueden descifrar fácilmente con una supervisión pasiva, especialmente en un entorno cifrado. La interceptación de todos los archivos que atraviesan las redes cifradas puede realizarse mediante la inspección profunda en el firewall y en el endpoint. Sin embargo, para procesar un número masivo de archivos a través de la red en tiempo casi real se requiere un enfoque diferente en lugar de sandboxing o simulación.
La introducción de la detección por IA para el reconocimiento de objetos de archivos mejora la detección en red y permite comprender el impacto de la amenaza de un ataque. El proceso implica el reconocimiento de patrones de bloques de código y su relación con el código malicioso mediante una red neuronal artificial (RNA). Para tener un entrenamiento preciso del modelo, se requiere una gran cantidad y un muestreo continuo de archivos maliciosos. Dado que los patrones de archivos de cada organización son diferentes, los NDR deben tener capacidad de aprendizaje de modelos de IA en las instalaciones del cliente unido a la supervisión del modelo basado en la nube. Por lo tanto, una inteligencia de amenazas global con millones de muestras desempeña un papel vital a la hora de proporcionar la línea de base para el entrenamiento del modelo.
Detección por IA en redes y archivos: Un escenario de ataque
Para comprender eficazmente las amenazas detectadas en redes y archivos, el mejor enfoque es aprovechar el marco de tácticas, técnicas y procedimientos (TTP). Cuando se detecta una anomalía, se puede mapear el ataque en un escenario para comprender las tácticas del actor de la amenaza, las técnicas o el método que se utiliza en un intento de comprometer el sistema, así como el procedimiento implicado en este proceso.
La inteligencia artificial puede desempeñar un papel importante en el avance de la ciberseguridad mediante la detección en red. El avance de la IA en NDR aumenta la capacidad de detectar amenazas avanzadas, sin embargo, con el fin de proporcionar una rápida respuesta y remediación, los escenarios de ataque deben ser capaces de incorporarse a las diversas herramientas de la cadena de ataque para su protección. La adopción de una solución basada en una arquitectura de seguridad de red puede responder y remediar eficazmente las amenazas detectadas en NDR en las diferentes etapas de la cadena de ataque, proporcionando una integración y orquestación sencillas para automatizar las herramientas de protección adecuadas para bloquear el ataque.
