Así actúa la inteligencia artificial en la detección y respuesta frente a ciberatacantes
- Actualidad
©Freepik
La habilidad de la inteligencia artificial para construir patrones y modelos de actividad normal e identificar anomalías la convierten en una herramienta de seguridad muy potente en los casos en los que ciberatacantes intentan vulnerar cuentas comprometidas utilizando credenciales legítimas. Estos son los resultados obtenidos por Barracuda Networks.
En la primera mitad de 2023, los análisis de patrones y pautas basados en inteligencia Aatificial han ayudado a Barracuda Managed XDR a detectar y neutralizar miles de casos de alto riesgo en casi un billón de incidentes IT analizados en total.
Durante ese semestre, las tres detecciones de alto riesgo más comunes y que se definen como amenazas que requieren una acción defensiva inmediata fueron “impossible travel”; anomalías y comunicación maliciosa.
La detección de acceso “impossible travel” (viajes imposibles) se da cuando un usuario intenta acceder a una cuenta cloud desde dos lugares geográficamente diferentes de forma rápida y consecutiva, siendo obviamente imposible recorrer esa distancia física en el tiempo comprendido entre los dos sucesos. Aunque esto puede significar que esté usando una VPN para uno de los inicios de sesión, suele ser una señal de que un atacante ha conseguido acceder a la cuenta de dicho usuario.
“En un incidente investigado por nuestro equipo SOC, un usuario se registró desde su cuenta de Microsoft 365 desde California y, solamente trece minutos después, desde Virginia”, explica Merium Khalid, Director, SOC Offensive Security en Barracuda. Según este experto, “para conseguir esto de manera real se tendría que viajar a una velocidad superior a los 16.000 kilómetros por hora para poder estar en ambos sitios en ese período de tiempo. La IP utilizada para acceder en Virginia no estba asociada a ninguna dirección VPN conocida y el usuario no solía conectarse desde ese lugar. Avisamos al cliente quien confirmó que no había sido un acceso autorizado e inmediatamente restableció las contraseñas y eliminó al usuario fraudulento de todas sus cuentas”.
Por su parte, la detección de anomalías se da cuando los equipos de seguridad identifican una actividad inusual o inesperada en las cuentas del usuario. Esto puede incluir señales como horarios de inicio de sesión raros; pautas de acceso de archivos que son inusuales o una creación excesiva de cuentas para un usuario o compañía. Estas detecciones pueden ser una señal de una variedad de problemas que incluyen las infecciones de malware, amenazas internas o ataques de phishing entre otros.
Por último, la comunicación maliciosa se refiere a aquellas comunicaciones que se realizan con archivos maliciosos o dañinos. Estos elementos identifican comunicaciones con direcciones IP, dominios o archivos ‘red flag’. Esto puede ser una señal que indica una infección de malware o un ataque de phishing y se debe poner el ordenador en cuarentena inmediatamente en caso de ocurrir.
“Todo el mundo tiene un perfil digital distintivo en términos de cómo, dónde y cuándo trabaja. Si un evento informático se sale de esos parámetros, la detección basada en IA dispara la alerta”, asegura Khalid.
No osbstante, puntualiza que, aunque la IA puede mejorar la seguridad, también puede ser utilizada con fines maliciosos para crear e-mails cada vez más convincentes o adaptar código dañino con objetivos específicos y alterando, por ejemplo, las condiciones de seguridad. "Para proteger una compañía y a sus empleados contra tácticas de ataque cada vez más inteligentes y con una mayor rapidez de evolución, se necesita una seguridad detallada y multicapa que incluya medidas sólidas de autentificación; formación periódica de los empleados en materia IT; actualizaciones de software, respaldadas por una visibilidad total y una supervisión continua en la red; las propias aplicaciones y los ‘endpoints’, subraya.
