A pesar del escepticismo sobre el papel del aprendizaje autónomo en la seguridad, las organizaciones se pueden beneficiar de la inteligencia de las máquinas cuando combaten ataques sofisticados. Aunque algunos creen que el aprendizaje autónomo es el último gran sueño imposible de la seguridad, yo considero que es al contrario. Todo depende de cómo se aplique, en este texto explicaré algunas maneras en las que la inteligencia automatizada puede hacer la diferencia y permitir que los analistas de seguridad dejen de perseguir fantasmas.

#1: El aprendizaje autónomo puede detector anomalías con precisión, a pesar de señales débiles y atacantes inteligentes.

Las señales que hay en ataques avanzados son débiles. Al usar aprendizaje autónomo para generar alertas sobre todo aquello que pudiese ser un ataque (por ejemplo, todas las señales débiles) solo agrava el problema conocido como “ruido de alertas” que no es más que la enorme cantidad de alertas con las que tiene que lidiar una empresa hoy en día. Para producir alertas de calidad que permitan a los analistas concentrarse en los problemas verdaderos, el aprendizaje autónomo debe ser capaz de relacionar muchas señales débiles en un lapso, al nivel de un usuario o host, con una calificación de riesgo que refleje la acumulación de eventos anómalos.

Por ejemplo, técnicas de aprendizaje autónomo, que sirven como bases de la Analítica de Comportamiento de Usuarios y Entidades (UEBA por sus siglas en inglés), pueden detectar un ataque comparando el comportamiento de acceso de un usuario, contra el de un atacante que ha ganado acceso a su equipo y está intentando entrar como si fuese el usuario. Las motivaciones del atacante son muy distintas a las del usuario, en su intento por moverse por la red y robar información importante. Técnicas de aprendizaje autónomo podrían detectar la información y desviaciones en el comportamiento que podrían indicar un riesgo.

#2 El aprendizaje autónomo facilita saber si los atacantes siguen dentro de la red.

El aprendizaje autónomo puede monitorear continuamente las grandes cantidades de datos que una organización posee, enriqueciéndola y complementándola, incluso si cierta actividad sospechosa no ha alcanzado el nivel de alerta. Esto además sucede sin la necesidad de configurar reglas, una noción predeterminada del bien y el mal, o la necesidad de producir resultados de detección en tiempo real.

Este pre-procesamiento resulta en una taxonomía de mayor nivel, que es clave en la aceleración del proceso de detección de amenazas. Comenzando con un solo trozo de evidencia, los analistas pueden usar esta nueva taxonomía para probar rápidamente hipótesis complejas y detectar ataques escondidos en la red. Estas anotaciones constantes,

que ocurren “detrás de cámaras” son una razón importante por la que el aprendizaje autónomo debe ser una parte importante de una estrategia de seguridad integral.

#3 El aprendizaje autónomo acorta el tiempo para detectar ataques.

Hoy, el tiempo promedio que toma identificar ataques dentro de la red es mayor a seis meses y una vasta mayoría de los atacantes están burlando los sistemas de prevención y detección actuales. Durante este tiempo, los atacantes usan una variedad de métodos para explotar su presencia dentro de la red, pero al hacerlo dejan un gran rastro de datos. El aprendizaje autónomo analiza automáticamente estas grandes cantidades de datos para detectar ataques. E incluso si el ataque no se detecta automáticamente con los procesos descritos en el punto 2, el aprendizaje autónomo hace mucho más fácil el proceso de detección.

El resultado es que el aprendizaje autónomo puede ayudar a reducir el tiempo que toma detectar e investigar este tipo de ataques, lo que es una victoria para las organizaciones. Esto también habla sobre la necesidad de un cambio de mentalidad fundamental en las empresas, ya que sus esfuerzos de detección y prevención fueron inadecuados para las necesidades de seguridad de hoy en día. Balancear esto con el monitoreo y la respuesta para una detección pronta de amenazas, se está convirtiendo en un requerimiento de seguridad vital.

Detenga las amenazas más rápidamente

Las organizaciones enfrentan un panorama sofisticado de ataques, las defensas tradicionales que dependen de reglas de correlación y firmas de tiempo real se están quedando cortas ante la mayoría de estas amenazas. Ataques sofisticados en múltiples niveles casi nunca se pueden detectar en tiempo real, y sonar las alarmas por cada variante detectada durante todas las etapas solo aumenta el problema del “ruido” causado para los analistas, en vez de aminorarlo. El aprendizaje autónomo puede ayudar a detectar ataques automáticamente Aunque tal vez no sea capaz de detectar todos los ataques, puede brindar información que apoye el trabajo humano para detectar y responder a los ataques.