Entrevista con Eloy Ávila, CTO de Darktrace.
¿Cuáles son y en qué consisten las herramientas de inteligencia artificial (IA) para enfrentar exitosamente los ataques cibernéticos?
A medida que la inteligencia artificial se ha ido adoptando ampliamente para usos que van desde la atención médica hasta el análisis financiero, también se ha vuelto cada vez más común dentro de la seguridad cibernética.
Sin embargo, no todas las herramientas de IA son efectivas para detener con éxito los ciberataques.
Muchas tecnologías de IA dependen del aprendizaje de máquina supervisado, lo que implica entrenar a la IA en conjuntos de datos masivos que consisten en ataques históricos.
En realidad, este enfoque no es tan diferente al uso tradicional de reglas ni a los enfoques basados en firmas. Desde que la IA ha sido entrenada en conjuntos de datos históricos, solo ha podido detectar ataques que se han visto antes, pero fracasando en detectar nuevos ataques y amenazas internas.
Las herramientas de IA impulsadas por el aprendizaje automático sin supervisión no analizan los datos de ataque históricos, sino que aprenden los patrones normales de comportamiento para cada usuario y dispositivo.
Armada con una comprensión integral y evolutiva de la normalidad, la IA puede detectar desviaciones sutiles en el comportamiento indicativo de las primeras etapas del ciberataque.
Este enfoque, que observa lo que es normal en vez de mirar a ataques históricos, es capaz de detectar nuevas amenazas, ataques emergentes en contra de dispositivos IoT y ataques dirigidos que otras herramientas de seguridad fallarían en detectar.
¿En qué fase de los ataques cibernéticos se aprovecha mejor la IA (prevención, contraataque, recuperación)?
Si bien, las herramientas que ayudan con la recuperación y el contraataque deben ser parte de una estrategia de seguridad completa, las empresas deben esforzarse por tener herramientas de detección y prevención que les permitan detectar y detener los ataques antes de que lleguen a la etapa de contraataque o recuperación.
Es mejor utilizar la inteligencia artificial para impedir que los ataques cibernéticos sucedan, porque puede detectar las ciberamenazas en sus primeras etapas y también detenerlas en su recorrido.
La respuesta autónoma impulsada por la IA es una de las capacidades más transformadoras de la IA cibernética.
Al adaptar los dispositivos a patrones normales de comportamiento, se puede prevenir que se propague una amenaza, al mismo tiempo que permite que la empresa permanezca operativa.
Por ejemplo, si un dispositivo está infectado con ransomware, la IA sabe que debe detener las comunicaciones anómalas de puerto a puerto que el malware está utilizando para propagarse, al mismo tiempo que permite que la computadora y el individuo naveguen por Internet y envíen correos electrónicos, etc.
Ante los ataques a velocidad de la máquina, la respuesta autónoma de IA se volverá aún más crítica. Incluso los equipos de seguridad mejor dotados de personal no pueden responder lo suficientemente rápido como para evitar que un ataque a velocidad de la máquina dañe a una empresa.
Afortunadamente, la IA puede recompensar el tiempo crítico de estos equipos, disminuyendo el ritmo de la amenaza y dándoles tiempo para responder.
¿Qué nivel de desarrollo tecnológico requieren las organizaciones para utilizar la IA frente a los ataques cibernéticos?
Muchas soluciones de IA requieren que una empresa tenga la madurez tecnológica suficiente como para aprovecharla con éxito y eficacia, ya que esta se entrega como un conjunto de elementos para que los clientes los ensamblen, o porque los clientes tienen que pasar largos períodos de tiempo entrenándola en conjuntos de datos.
Desafortunadamente, los expertos en IA son un recurso poco común que muchas empresas no pueden costear. Aquellas empresas que pueden emplearlos, los utilizan para transformar sus propias industrias y negocios.
Sin embargo, existen soluciones de IA capaces de detener los ciberataques que no requieren que las empresas tengan expertos o experiencia en IA.
Desde el primer día, Darktrace desarrolló su tecnología en torno a un concepto de democratización de la IA. Entregamos una aplicación de IA empresarial que se implementa en menos de una hora.
En una semana, los algoritmos de autoaprendizaje ya han aprendido lo que es normal para un negocio y están encontrando amenazas y vulnerabilidades que no estaban sido detectadas.
La tecnología no requiere que una empresa o un equipo de seguridad tengan experiencia en IA. En cambio, pueden usar la interfaz visual e intuitiva: Threat Visualizer de Darktrace, para ganar visibilidad y obtener rápidamente un contexto sobre por qué la IA señala una amenaza como altamente anómala o sugiere una acción.
Para la mayoría de nuestros clientes, Darktrace es la primera aplicación que han utilizado. Experimentan la construcción de confianza con la inteligencia artificial, al observar como la IA de Darktrace puede detectar y parar efectivamente amenazas avanzadas.
¿En qué perfil de organizaciones se ha aprovechado más la IA para enfrentar la ciberdelincuencia?
Los recientes ataques cibernéticos de alto perfil y las violaciones de datos han sido una revelación para las empresas en todos los mercados.
Los autores de amenazas más sofisticados trabajan para alterar no solo la estabilidad financiera, sino también la reputación de las compañías, y los daños potenciales de una violación cibernética nunca habían sido tan devastadores.
Todas las industrias tienen datos que proteger, y todas las industrias tienen algo que perder.
Hoy, Darktrace tiene clientes en todas las industrias, desde minoristas y medios de comunicación hasta el sector público y la manufactura.
Casi una cuarta parte de los clientes de Darktrace están en la industria de servicios financieros debido a la madurez de sus equipos de seguridad.
Es fácil ver por qué las instituciones financieras son uno de los objetivos más importantes para los ciberdelincuentes: tienen los activos más valiosos para robar.
Solo dentro de esta industria, nuestros clientes van desde un fondo de cobertura de 10 personas hasta uno de los bancos globales más grandes del mundo. También hemos visto una amplia adopción de la IA cibernética en la atención médica, donde las regulaciones y la sensibilidad de los datos de los pacientes exigen enfoques innovadores para la seguridad informática.
¿Existen evidencias y casos de uso representativos del aprovechamiento de IA para enfrentar la ciberdelincuencia?
Un ejemplo reciente tuvo lugar en una consultora de inversiones japonesa. Darktrace descubrió que un sistema de CCTV conectado a Internet había sido infiltrado por atacantes desconocidos.
Los perpetradores habían utilizado el dispositivo para establecerse en la red y podían ver todas las grabaciones de video de la cámara desde allí. Instalada con la intención de monitorear todos los espacios de trabajo, desde la oficina del CEO hasta la sala de juntas, la cámara se convirtió en un riesgo de seguridad.
La IA de Darktrace detectó rápidamente que algo andaba mal. Se observaron grandes volúmenes de datos moviéndose hacia y desde el servidor de CCTV sin cifrar, mientras el atacante reunía datos en preparación para filtrar información confidencial.
En el momento en que el atacante intentó filtrar los datos, la respuesta autónoma de Darktrace tomó medidas defensivas rápidas y precisas para bloquear el movimiento de datos desde el dispositivo a un servidor externo, al tiempo que permitía que el CCTV funcionara a su capacidad prevista. La IA defendió a la velocidad de la máquina, evitando una violación grave de información sensible.
Este es solo uno de los miles de ejemplos de amenazas sofisticadas que hemos detectado en las redes de sus clientes. Algunas de las amenazas más comunes que hemos presenciado son ataques contra dispositivos vulnerables de IoT; configuraciones incorrectas en la nube; amenazas internas maliciosas; ransomware y otras amenazas a la velocidad de la máquina.
¿En qué medida los ciberdelincuentes aprovechan también la IA y qué implicaciones tiene?
Existe cierto debate sobre cuándo podemos ver la IA utilizada como armamento en ataques cibernéticos.
¿Será 2019 el año en que los algoritmos utilizarán su inteligencia para aprender sobre las empresas y combinarse con la conmoción diaria de los negocios digitales? ¿Será en 2020 o después?
A medida que la IA se vuelve más accesible y la tecnología de seguridad cibernética se vuelve más avanzada, los ciberdelincuentes y los estados-nación sin duda están ideando ataques de IA y aprovechándolos para dirigirse en contra de individuos y empresas con más precisión y escala.
Los ataques cibernéticos de IA serán casi imposibles de detener para los humanos.
Los ciberataques autónomos pueden tener un objetivo definido, la propiedad intelectual, o realizarse de manera oportunista para obtener ganancias o daños monetarios.
A medida que mantengan su presencia, se fortalecerán en su conocimiento interno, conforme desarrollen el control sobre los datos y todas las redes.
Una vez infiltrados, estos ataques de autoaprendizaje no se controlarán ni esperarán órdenes de la base de operaciones. A menudo tomarán sus propias decisiones mientras estén en las redes corporativas y darán golpes de forma lenta, sigilosa y prácticamente sin dejar rastro.
Se convertirá en una guerra de algoritmos maliciosos contra la IA cibernética dentro de las redes corporativas.
¿Cuál es la oferta de valor de Darktrace para las organizaciones?
La plataforma Cyber AI de Darktrace consta de dos productos principales y cuatro módulos de análisis de datos.
Enterprise Immune System comprende el ADN de una empresa a nivel granular y puede detectar amenazas a medida que surgen.
Antigena es el primer sistema de respuesta autónomo para defender a los clientes de las amenazas a la velocidad de una máquina y utiliza IA para detener los ataques con precisión quirúrgica. Nuestros cuatro módulos de análisis de datos – Email, Cloud, Industrial/IoT, y Network- aseguran que el ecosistema digital de las empresas sea seguro.
El objetivo de Darktrace siempre ha sido automatizar el flujo de trabajo de los equipos de seguridad con IA para recuperar tiempo que podría ser muy valioso, lo cual permite a los equipos concentrarse en tareas más estratégicas.
Nosotros empezamos con la detección desde un inicio, evolucionamos a la tecnología de respuesta hace aproximadamente 3 años, y nos dimos cuenta de que la investigación es una de las tareas más laboriosas, por lo que empezamos a explorar cómo podíamos utilizar IA para automatizar las investigaciones también.
El Cyber AI Analyst es producto de una iniciativa de investigación del Darktrace Research Center, que combina la intuición del análisis con la consistencia, la velocidad y la adaptabilidad de la IA durante los flujos de trabajo de investigaciones.
El Cyber AI Analyst no solo replica las tareas humanas a mayor velocidad, si no que va más allá de lo humano. Aún los mejores analistas de seguridad en el mundo están restringidos por la finitud humana. Se cansan, toman un descanso, trabajan de 9 a 5, deben esperar a que se terminen las consultas, y a veces toman atajos cuando están bajo la presión del tiempo.
Además, nuestra realidad actual es tal que el panorama produce cientos y miles de alertas cada día, y todas merecen priorizarse, análisis e investigación y por último algún tipo de respuesta. Este tipo de problemas, si no se escalan de manera apropiada, y a medida que los ataques continúen actuando más rápido, serán deficientes a futuro.
La tecnología de Cyber AI Analyst puede exceder esas limitaciones y operar a una velocidad y escala que nadie pudo jamás. Puede echar datos n-dimensionales, generar miles de consultas a la velocidad de la máquina, e investigar todas las cadenas paralelas a la vez para reducir drásticamente ‘el tiempo de respuesta’ en el contexto de un incidente de seguridad.
