El papel del aprendizaje aut贸nomo en la ciberseguridad

A pesar del escepticismo sobre el papel del aprendizaje aut贸nomo en la seguridad, las organizaciones se pueden beneficiar de la inteligencia de las m谩quinas cuando combaten ataques sofisticados. Aunque algunos creen que el aprendizaje aut贸nomo es el 煤ltimo gran sue帽o imposible de la seguridad, en Aruba, una compa帽铆a de HPE, consideran que es al contrario.

Todo depende de c贸mo se aplique, en este texto se explica algunas maneras en las que la inteligencia automatizada puede hacer la diferencia y permitir que los analistas de seguridad dejen de perseguir fantasmas.

 

1. El aprendizaje aut贸nomo puede detectar anomal铆as con precisi贸n, a pesar de se帽ales d茅biles y atacantes inteligentes.

Las se帽ales que hay en ataques avanzados son d茅biles. Al usar aprendizaje aut贸nomo para generar alertas sobre todo aquello que pudiese ser un ataque (por ejemplo, todas las se帽ales d茅biles) solo agrava el problema conocido como 鈥渞uido de alertas鈥 que no es m谩s que la enorme cantidad de alertas con las que tiene que lidiar una empresa hoy en d铆a. Para producir alertas de calidad que permitan a los analistas concentrarse en los problemas verdaderos, el aprendizaje aut贸nomo debe ser capaz de relacionar muchas se帽ales d茅biles en un lapso, al nivel de un usuario o host, con una calificaci贸n de riesgo que refleje la acumulaci贸n de eventos an贸malos.

Por ejemplo, t茅cnicas de aprendizaje aut贸nomo, que sirven como bases de la Anal铆tica de Comportamiento de Usuarios y Entidades (UEBA por sus siglas en ingl茅s), pueden detectar un ataque comparando el comportamiento de acceso de un usuario, contra el de un atacante que ha ganado acceso a su equipo y est谩 intentando entrar como si fuese el usuario. Las motivaciones del atacante son muy distintas a las del usuario, en su intento por moverse por la red y robar informaci贸n importante. T茅cnicas de aprendizaje aut贸nomo podr铆an detectar la informaci贸n y desviaciones en el comportamiento que podr铆an indicar un riesgo.

 

2. El aprendizaje aut贸nomo facilita saber si los atacantes siguen dentro de la red.

El aprendizaje aut贸nomo puede monitorear continuamente las grandes cantidades de datos que una organizaci贸n posee, enriqueci茅ndola y complement谩ndola, incluso si cierta actividad sospechosa no ha alcanzado el nivel de alerta. Esto adem谩s sucede sin la necesidad de configurar reglas, una noci贸n predeterminada del bien y el mal, o la necesidad de producir resultados de detecci贸n en tiempo real.

Este pre-procesamiento resulta en una taxonom铆a de mayor nivel, que es clave en la aceleraci贸n del proceso de detecci贸n de amenazas. Comenzando con un solo trozo de evidencia, los analistas pueden usar esta nueva taxonom铆a para probar r谩pidamente hip贸tesis complejas y detectar ataques escondidos en la red. Estas anotaciones constantes, que ocurren 鈥渄etr谩s de c谩maras鈥 son una raz贸n importante por la que el aprendizaje aut贸nomo debe ser una parte importante de una estrategia de seguridad integral.

 

3. El aprendizaje aut贸nomo acorta el tiempo para detectar ataques.

Hoy, el tiempo promedio que toma identificar ataques dentro de la red es mayor a seis meses y una vasta mayor铆a de los atacantes est谩n burlando los sistemas de prevenci贸n y detecci贸n actuales. Durante este tiempo, los atacantes usan una variedad de m茅todos para explotar su presencia dentro de la red, pero al hacerlo dejan un gran rastro de datos. El aprendizaje aut贸nomo analiza autom谩ticamente estas grandes cantidades de datos para detectar ataques. E incluso si el ataque no se detecta autom谩ticamente con los procesos descritos en el punto 2, el aprendizaje aut贸nomo hace mucho m谩s f谩cil el proceso de detecci贸n.

El resultado es que el aprendizaje aut贸nomo puede ayudar a reducir el tiempo que toma detectar e investigar este tipo de ataques, lo que es una victoria para las organizaciones. Esto tambi茅n habla sobre la necesidad de un cambio de mentalidad fundamental en las empresas, ya que sus esfuerzos de detecci贸n y prevenci贸n fueron inadecuados para las necesidades de seguridad de hoy en d铆a. Balancear esto con el monitoreo y la respuesta para una detecci贸n pronta de amenazas, se est谩 convirtiendo en un requerimiento de seguridad vital.

 

Detenga las amenazas m谩s r谩pidamente

Las organizaciones enfrentan un panorama sofisticado de ataques, las defensas tradicionales que dependen de reglas de correlaci贸n y firmas de tiempo real se est谩n quedando cortas ante la mayor铆a de estas amenazas. Ataques sofisticados en m煤ltiples niveles casi nunca se pueden detectar en tiempo real, y sonar las alarmas por cada variante detectada durante todas las etapas solo aumenta el problema del 鈥渞uido鈥 causado para los analistas, en vez de aminorarlo. El aprendizaje aut贸nomo puede ayudar a detectar ataques autom谩ticamente Aunque tal vez no sea capaz de detectar todos los ataques, puede brindar informaci贸n que apoye el trabajo humano para detectar y responder a los ataques.