La inteligencia artificial y la inteligencia de amenazas, claves para protegerse en 2020

El equipo de expertos en ciberseguridad de Fortinet, FortiGuard Labs, sugiere en sus pronósticos para 2020 que las metodologías de ataque continuarán sofisticándose a menos que más organizaciones replanteen sus estrategias de seguridad. “Con el volumen, la velocidad y la sofisticación del actual panorama global de amenazas, las organizaciones deben ser capaces de responder en tiempo real a la velocidad de las máquinas para contrarrestar con eficacia los ataques agresivos. Los avances en inteligencia artificial y en inteligencia de amenazas serán vitales en esta lucha”, aseguran.

Cómo protegerse
Para ser eficaces ante el cibercrimen, Fortinet destaca una serie de tecnologías y recursos que hay que tener en el punto de mira y que se deben incluir en las estrategias de seguridad:

IA como sistema
Uno de los objetivos del desarrollo de la inteligencia artificial (IA) centrada en la seguridad ha sido crear un sistema inmunitario adaptativo para la red similar al del cuerpo humano. La primera generación de IA fue diseñada para utilizar modelos de machine learning para aprender, correlacionar y luego determinar un plan de acción específico. La segunda generación aprovecha su capacidad cada vez más sofisticada de detectar patrones para mejorar significativamente áreas como el control de acceso mediante la distribución de nodos de aprendizaje en un entorno. Con la tercera, en lugar de depender de un centro de procesamiento central y monolítico, la IA interconectará sus nodos de aprendizaje regionales para que los datos recolectados localmente puedan ser compartidos, correlacionados y analizados de una manera más distribuida. Éste será un avance muy importante a medida que las organizaciones busquen asegurar sus entornos periféricos en expansión.

Un Machine Learning Federado
Además de aprovechar las formas tradicionales de información sobre amenazas extraídas de las fuentes o derivadas del tráfico interno y del análisis de datos, el machine learning se basará en una avalancha de información relevante procedente de los nuevos dispositivos periféricos a los nodos de aprendizaje locales. Al rastrear y correlacionar esta información en tiempo real, el sistema de IA no solo será capaz de generar una visión más completa del panorama de amenazas, sino también de refinar la forma en que los sistemas locales pueden responder a los eventos locales.

Los sistemas de IA podrán ver, correlacionar, rastrear y prepararse para las amenazas compartiendo información a través de la red. Eventualmente, un sistema de aprendizaje federado permitirá interconectar conjuntos de datos para que los modelos de aprendizaje puedan adaptarse a los entornos cambiantes y a las tendencias de los eventos y para que un evento en un momento dado mejore la inteligencia de todo el sistema.

Combinar la IA y los Playbooks para predecir ataques
Invertir en inteligencia artificial no solo permite a las organizaciones automatizar las tareas, sino que puede habilitar un sistema automatizado que puede buscar y descubrir los ataques, después de los hechos y antes de que se produzcan. La combinación del aprendizaje automático con el análisis estadístico permitirá a las organizaciones desarrollar una planificación de acción personalizada vinculada a la IA para mejorar la detección de amenazas y la respuesta.

Estos Playbooks de amenazas podrían descubrir patrones subyacentes que permiten al sistema de IA predecir el siguiente movimiento de un atacante, pronosticar dónde es probable que ocurra el siguiente ataque, e incluso determinar qué actores de la amenaza son los más probables culpables. Si esta información se añade a un sistema de aprendizaje de IA, los nodos de aprendizaje remoto serán capaces de proporcionar una protección avanzada y proactiva, donde no solo detectan una amenaza, sino que también pronostican los movimientos, intervienen proactivamente y se coordinan con otros nodos para cerrar simultáneamente todas las vías de ataque.

La oportunidad de la contrainteligencia y el engaño
Uno de los recursos más críticos en el mundo del espionaje es la contrainteligencia, y lo mismo ocurre cuando se ataca o defiende un entorno en el que los movimientos están siendo cuidadosamente monitorizados. Los defensores tienen una clara ventaja al disponer de un acceso a los tipos de información sobre amenazas que los ciberdelincuentes generalmente no tienen, lo que puede aumentarse con el aprendizaje automático y la inteligencia artificial.

El uso cada vez mayor de tecnologías de engaño podría desencadenar una represalia de contrainteligencia por parte de los ciberdelincuentes. En este caso, los atacantes tendrán que aprender a diferenciar entre tráfico legítimo y tráfico generado por señuelos evitando ser atrapados simplemente por espiar los patrones de tráfico. Las organizaciones podrán contrarrestar eficazmente esta estrategia añadiendo Playbooks y una IA más generalizada a sus estrategias de engaño. Esta estrategia no solo detectará a los delincuentes que buscan identificar el tráfico legítimo, sino que también mejorará el tráfico engañoso para que sea imposible diferenciarlo de las transacciones legítimas. Eventualmente, las organizaciones podrían responder a cualquier esfuerzo de contrainteligencia antes de que ocurran, lo que les permitiría mantener una posición de control superior.

Integración total con las Fuerzas de Seguridad
La ciberseguridad tiene requisitos únicos relacionados con temas como la privacidad y el acceso, mientras que la ciberdelincuencia no tiene fronteras. En consecuencia, las organizaciones encargadas de hacer cumplir la ley no solo están estableciendo centros de mando mundiales, sino que han comenzado a conectarlos con el sector privado, por lo que están un paso más cerca de identificar y responder a los ciberdelincuentes en tiempo real. Un tejido de relaciones entre los organismos encargados de hacer cumplir la ley y los sectores público y privado puede ayudar a identificar a los ciberdelincuentes y responderles. Las iniciativas que fomentan un enfoque más unificado para colmar las lagunas entre los distintos organismos internacionales y locales encargados de hacer cumplir la ley, los gobiernos, las empresas y los expertos en seguridad contribuirán a agilizar el intercambio oportuno y seguro de información para proteger las infraestructuras críticas y contra la ciberdelincuencia.

Como conclusión, Derek Manky, jefe del área de Security Insights y Global Threat Alliances de la compañía, dice que “gran parte del éxito del cibercrimen se ha debido a su capacidad para aprovechar la superficie de ataque en expansión y las consiguientes brechas de seguridad producidas durante el proceso de transformación digital. Recientemente, sus metodologías de ataque se han vuelto más sofisticadas al integrar los precedentes de la IA y la tecnología de enjambre. Afortunadamente, este modelo está a punto de cambiar en la medida en que más organizaciones protejan sus redes aplicando el mismo tipo de estrategias que los delincuentes están utilizando para atacarlas. Esto requiere un enfoque unificado que sea amplio, integrado y automatizado, que permita la protección y la visibilidad en todos los segmentos de la red, así como en varios perímetros, desde el IoT hasta las nubes dinámicas”.