La Inteligencia Artificial (IA) gana cada vez más protagonismo en el ámbito de la ciberseguridad. Una de las tecnologías que destaca en la IA es el aprendizaje profundo, a través de redes neuronales artificiales, que ha logrado resultados significativos en los campos de la computación, la exploración de múltiples lenguajes y los procesos autónomos.
Además, las técnicas de IA son muy prometedoras en las áreas de análisis, detección y respuesta a las amenazas. Su capacidad para aplicar técnicas avanzadas de análisis, basadas en la lógica, puede aliviar en gran medida la carga de los administradores de seguridad y permitirles tomar medidas razonables y eficaces en respuesta a cualquier tipo de amenaza.
El análisis del comportamiento de usuarios y entidades (UEBA), por ejemplo, puede ayudar a detectar a personas internas malintencionadas, así como a atacantes externos hostiles que se infiltran en la red y sus activos. El análisis del tráfico de la red es otra área en la que la IA puede brillar; el volumen del tráfico de la red suele ser masivo y llevar a cabo un análisis exhaustivo y continuo que sólo con esfuerzos humanos sería no solo difícil, sino imposible.
Otras técnicas avanzadas de IA y ML, como el análisis de big data, pueden ayudar a detectar el malware y las amenazas avanzadas con un gran grado de precisión absoluto, incluidas las mutaciones y variantes. La IA y el ML pueden mejorar los procesos de automatización de la seguridad codificando muchas tareas rutinarias y repetitivas en flujos de trabajo, lo que permite al personal del SOC centrarse en la resolución de amenazas y en otros esfuerzos de misión crítica.
Además, otra forma innovadora de aprovechar la IA es el PCA, o análisis de componentes principales, que se utiliza para crear modelos predictivos. Puede reducir los datos de alta dimensión -datos con demasiados atributos- en un gráfico 2D que es interpretable, mostrando cómo los componentes principales se correlacionan entre sí y creando modelos predictivos. En el ámbito de la ciberseguridad, el PCA puede identificar automáticamente las características de uso de la API para descubrir vulnerabilidades de día cero.
Otros métodos para aprovechar la IA son el uso de redes neuronales recurrentes para identificar vulnerabilidades de programas binarios, la agrupación de gráficos para permitir la detección de bots, basada en algoritmos generadores de dominio (DGA), el monitoreo multicapa (MLP) para detectar tráfico de red anormal, entre otras.
En resumidas cuentas, independientemente de sus tácticas evasivas, el malware casi siempre muestra ciertos comportamientos, a menudo sutiles, que pueden discernirse analizando las enormes cantidades de datos que se generan en una red típica.
Y eso es precisamente lo que la IA y el ML hacen muy bien: digerir, correlacionar y analizar enormes cantidades de datos para detectar pequeños matices o indicadores de amenaza, que luego se pueden presentar al equipo de seguridad para que los investigue.
La IA puede ayudar a agilizar los procesos y a realizar tareas repetitivas, a reducir de forma inteligente los falsos positivos y a disminuir la carga de trabajo del sobrecargado personal de TI y de seguridad.
Hillstone Networks ha sido pionero en el uso de la IA y el ML (Machine learning) en los productos de seguridad desde principios de 2010, y el conjunto de productos ha integrado dichas técnicas para mejorar el proceso de análisis de correlación, la detección de comportamientos y la detección y prevención inteligentes.