Su próximo guardia de seguridad digital debería parecerse más a RoboCop

Este manual técnico escrito por el proveedor ha sido editado por Network World para eliminar la promoción del producto, pero los lectores deben tener en cuenta que probablemente favorecerá el enfoque del remitente.

Los seres humanos son claramente incapaces de monitorear e identificar cada amenaza en las vastas y complejas redes de hoy en día utilizando herramientas de seguridad tradicionales. Necesitamos mejorar las capacidades humanas al aumentarlas con inteligencia artificial. Mezclar hombre y máquina, de alguna manera, similar a lo que OmniCorp hizo con RoboCop, puede aumentar nuestra capacidad para identificar y detener una amenaza antes de que sea demasiado tarde..

Las herramientas "tontas" en las que confían las organizaciones hoy en día son simplemente ineficaces. Hay dos cosas consistentes, pero aún sorprendentes, que hacen que esta ineptitud sea bastante evidente. La primera es la cantidad de tiempo que los piratas informáticos tienen reinado libre dentro de un sistema antes de ser detectados: ocho meses en Premera y P.F. Chang's, seis meses en Nieman Marcus, cinco meses en Home Depot, y la lista continúa.

La segunda sorpresa es la respuesta. Por lo general, todos miran hacia atrás, tratando de descubrir cómo entraron los actores externos. Encontrar la fuga proverbial y taparla es obviamente importante, pero este enfoque solo trata un síntoma en lugar de curar la enfermedad.

La enfermedad, en este caso, es la creciente facción de hackers que se están volviendo tan buenos en lo que hacen que pueden infiltrarse en una red y deambular libremente, accediendo a más archivos y datos a los que incluso la mayoría de los empleados internos tienen acceso. Si Premera, Sony, Target y otros tardaron meses en detectar a estos malos actores en sus redes y comenzar a reparar los agujeros que los dejaban entrar, ¿cómo pueden estar seguros de que otro grupo no encontró otro agujero? ¿Cómo saben que otros grupos no están robando datos en este momento? Hoy no pueden estar seguros.

La respuesta típica

Hasta hace poco, las compañías solo tenían una opción como respuesta a las crecientes amenazas, una respuesta que la mayoría de las organizaciones aún emplean. Reforzan los sistemas, aumentan el firewall y las reglas y umbrales IDS / IPS, y establecen políticas web y VPN más estrictas. Pero al hacer esto, ahogan a sus equipos de respuesta a incidentes en alertas.

Ajustar las políticas y aumentar la cantidad de escenarios que levantarán una bandera roja solo hace que el trabajo sea más difícil para los equipos de seguridad que ya se han reducido. Esto causa miles de falsos positivos todos los días, lo que hace que sea físicamente imposible investigar cada uno. Como lo han demostrado los recientes ataques de alto perfil, el diluvio de alertas está ayudando a que la actividad maliciosa se escape por las grietas porque, incluso cuando está "atrapada", no se hace nada al respecto.

Además, restringir las reglas y procedimientos de seguridad solo desperdicia el tiempo de todos. Por diseño, políticas más estrictas restringirán el acceso a los datos y, en muchos casos, esos datos son lo que los empleados necesitan para hacer bien su trabajo. Los empleados y departamentos comenzarán a pedir las herramientas y la información que necesitan, perdiendo un tiempo precioso para ellos y los equipos de TI / seguridad que tienen que examinar cada solicitud.

Poniendo RoboCop en el caso

La inteligencia artificial se puede utilizar para vigilar redes masivas y ayudar a llenar los vacíos donde los recursos y capacidades disponibles de la inteligencia humana claramente se están quedando cortos. Es un poco como dejar que RoboCop vigile las calles, pero en este caso el armamento principal son los algoritmos estadísticos. Más específicamente, las estadísticas se pueden usar para identificar actividades anormales y potencialmente maliciosas a medida que ocurren.

Según Dave Shackleford, analista del Instituto SANS y autor de su Encuesta de análisis e inteligencia de 2014, "uno de los mayores desafíos a los que se enfrentan las organizaciones de seguridad es la falta de visibilidad de lo que sucede en el entorno". La encuesta de 350 profesionales de TI preguntó por qué tienen dificultades para identificar amenazas y una respuesta superior fue su incapacidad para comprender y establecer un "comportamiento normal". Es algo que los humanos simplemente no pueden hacer en entornos complejos, y como no podemos distinguir el comportamiento normal, no podemos ver un comportamiento anormal..

En lugar de confiar en que los humanos miren gráficos en monitores de pantalla grande o reglas y umbrales definidos por los humanos para levantar banderas, las máquinas pueden aprender cómo se ve el comportamiento normal, ajustarse en tiempo real y volverse más inteligentes a medida que procesan más información. Además, las máquinas poseen la velocidad requerida para procesar la gran cantidad de información que crean las redes, y pueden hacerlo casi en tiempo real. Algunas redes procesan terabytes de datos cada segundo, mientras que los humanos, por otro lado, no pueden procesar más de 60 bits por segundo..

Dejando a un lado la necesidad de velocidad y capacidad, un problema mayor con la forma tradicional de monitoreo de problemas de seguridad es que las reglas son tontas. No son solo insultos tampoco, son literalmente tontos. Los humanos establecen reglas que le dicen a la máquina cómo actuar y qué hacer: la velocidad y la capacidad de procesamiento son irrelevantes. Si bien los sistemas de monitoreo basados ​​en reglas pueden ser muy complejos, todavía se basan en una fórmula básica de "si esto es lo que se hace". Permitir que las máquinas piensen por sí mismas y proporcionen mejores datos y conocimientos a los humanos que confían en ellas es lo que realmente mejorará la seguridad..

Es casi absurdo no tener una capa de seguridad que piense por sí misma. Imagínese en el mundo físico si alguien cruzara la frontera todos los días con una carretilla llena de tierra y los agentes de aduanas, siendo diligentes en sus trabajos y siguiendo las reglas, estuvieran revisando esa tierra día tras día, sin encontrar lo que creían que eran. buscando. Aunque esa misma persona cruza repetidamente la frontera con una carretilla llena de tierra, a nadie se le ocurre mirarla. Si lo hubieran hecho, se habrían enterado rápidamente de que ha estado robando carretillas todo el tiempo.!

El hecho de que nadie les dijo a los agentes de aduanas que buscaran carretillas robadas no está bien, pero como dicen, la retrospectiva es 20/20. En el mundo digital, ya no tenemos que depender de la retrospectiva, especialmente ahora que tenemos el poder de poner a trabajar la inteligencia artificial y reconocer las anomalías que podrían estar ocurriendo ante nuestras narices. Para que la ciberseguridad sea efectiva hoy, necesita al menos un nivel básico de inteligencia. Las máquinas que aprenden por sí mismas y detectan actividad anómala pueden encontrar al "ladrón de carretillas" que podría estar sifonando datos lentamente, incluso si no sabe específicamente que lo está buscando..

La detección de anomalías se encuentra entre las primeras categorías tecnológicas en las que se está utilizando el aprendizaje automático para mejorar la seguridad de la red y las aplicaciones. Es una forma de análisis de seguridad avanzado, que es un término que se usa con bastante frecuencia. Sin embargo, hay algunos requisitos que este tipo de tecnología debe cumplir para ser considerado realmente "avanzado". Debe implementarse fácilmente para operar continuamente, contra una amplia gama de tipos de datos y fuentes, y a grandes escalas de datos para producir información de alta fidelidad para no aumentar aún más la ceguera de alerta que ya enfrentan los equipos de seguridad.

Los principales analistas coinciden en que el aprendizaje automático pronto será una "necesidad" para proteger una red. En un informe de Gartner de noviembre de 2014 titulado "Agregar nuevas métricas de rendimiento para administrar sistemas habilitados para el aprendizaje automático", afirma directamente el analista Will Cappelli, "la funcionalidad de aprendizaje automático se irá generalizando en los próximos cinco años y, en el proceso , modifica fundamentalmente el rendimiento del sistema y las características de costo "

Si bien el aprendizaje automático no es una bala de plata que resolverá todos los desafíos de seguridad, no hay duda de que proporcionará mejor información para ayudar a los humanos a tomar mejores decisiones. Dejemos de pedirle a la gente que haga lo imposible y dejemos que la inteligencia artificial intervenga para ayudar a hacer el trabajo..

Prelert proporciona análisis avanzado para la detección de actividad de amenazas. Prelert ayuda a las organizaciones a detectar, investigar y responder rápidamente a las actividades de amenazas posteriores a la violación con la detección automatizada de anomalías de aprendizaje automático.

Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.