Solía haber una fórmula simple para un debate de seguridad: péguelas con un resumen de las peores historias de terror del año (los últimos ataques, virus y cuánto cuestan a las empresas) y, a continuación, presente las últimas soluciones tecnológicas más sofisticadas. en el pasado.
La reciente mesa redonda de NetEvents EMEA Press Spotlight – El mejor amigo del profesional de la seguridad: Inteligencia artificial – agregó una mayor inteligencia a la mezcla.
Fue una combinación de Inteligencia Artificial (IA) e inteligencia humana: en la forma de un mayor realismo, un mayor reconocimiento de los límites de lo que es posible.
El analista de principios de Ovum, Rik Turner, habló sobre los desafíos, los cambios y las respuestas tecnológicas.
En la década de 1990, explicó, todos hablaban de prevención: “evitar que ingresen los malos, evitar que el malware penetre en sus redes”.
Su infraestructura podría ser segura
Podrían evitar que todas esas cosas malas pasen. En cambio, en las últimas dos décadas, nos hemos movido hacia una nueva postura.
La gran mayoría de los vendedores y profesionales ahora admiten que lo mejor que podemos hacer en este momento es detectar y mitigar: “detecte una vez que alguien entre, muévase para mitigar lo más rápido posible, haga una cierta limitación de daño, haga un poco de cuarentena para que pueda recorrer alocadamente dentro de su infraestructura y, luego, remedie, limpie, saque y vuelva a comenzar. Hasta la próxima brecha “.
Eso, sugirió, es realmente una derrota para la industria de la seguridad cibernética “Me recuerda un poco a la gente que defiende la ciudad de Constantinopla cuando todavía era capital del Imperio Bizantino, gradualmente el asedio atravesó las primeras paredes exteriores, y las condujo a las paredes internas, hasta que finalmente rompieron el conjunto cosa. Tenga en cuenta que utilizamos el término violación. Lo hemos adoptado del mundo de la guerra de asedio “.
¿Qué más ha cambiado?
La cantidad de malware que las firmas antivirus han detenido exitosamente continúa cayendo.
En 2014, Symantec, en The Wall Street Journal, hablaba de un 45% de éxito: “Ahora creo que es entre un 20 y un 30%, no mucho más, en toda la industria”.
Luego, por supuesto, está el aumento de bandas criminales, hacktivistas y actores de malware patrocinados por el estado con recursos ilimitados para jugar, por no mencionar la disponibilidad de kits de piratería disponibles en la dark web.
Lo que es más: “La nube: eso hace que sea mucho más fácil salir, alquilar algunos procesadores de Amazon, probar su nuevo exploit antes de que lo haya lanzado y asegurarse de que funcione”.
Finalmente, no es solo el volumen de vulnerabilidades reveladas, es la velocidad de su explotación: “Las personas en seguridad siempre hablan de la aguja en el pajar. Es un cliché horrible, pero es verdad. [En realidad, más adelante en la discusión, alguien enmendó esto para “es más como encontrar una aguja en una pila de agujas”].
En este espacio de vulnerabilidad, se está publicando esta gran cantidad de vulnerabilidades [más de 15,000 el año pasado] pero, de la misma manera;
¿cómo sabe cuáles serán explotadas realmente?
¿Por qué perder el tiempo preocupándose por todos los demás cuando solo se explota un 1,9%? …
También la velocidad a la que se explotan los que van a explotarse es cada vez mayor. Así que tienes menos tiempo para decidir en cuáles necesitas concentrarte “.
Pasando de prevenir a detectar y mitigar, describió los enfoques actuales.
Primer sandboxing: “Usted introdujo una caja grande, la puso en su red.
Cualquier cosa que pareciera vagamente dudosa de que realmente no se pudiera garantizar era malware, se podía poner allí, llevar a cabo una explosión controlada y verificar si era realmente malicioso.
Estuvo muy de moda por un tiempo, vendieron muchísimo.
Luego, los tipos de malware comenzaron a escribir malware que sabía que estaba en un arenero, y jugaron muerto, efectivamente, o jugaron bien, como quiera que lo pongas, para que se libere en la naturaleza … “
“Saber que está en una caja de arena” suena como un gran ejemplo de inteligencia artificial, pero en las manos equivocadas.
Su ejemplo de aprendizaje de inteligencia artificial en las manos adecuadas es el análisis de comportamiento de usuario y entidad (UBEA), un sistema que analiza todo lo que se hace en la red de cada usuario o sistema, y aprende cuál es el comportamiento “normal”.
Luego, puede marcar una advertencia sobre cualquier comportamiento fuera de lo común:
“Puede ser que su servidor de correo electrónico de repente comience a descargar la base de datos de nómina completa. Esa es una entidad actuando un poco dudosa “.
Otra respuesta basada en información se llama “inteligencia de amenazas”.
Comienza con una tonelada de datos y luego los reduce inteligentemente.
Dio el ejemplo de una sucursal bancaria que desea detalles de todos los ladrones de bancos que viven hoy, luego filtra los que se encuentran actualmente en prisión y luego reduce el campo al señalar a los que viven convenientemente cerca de la sucursal.
Ambos enfoques basados en la información son los que mejor sirven por AI Machine Learning que clasifica las cargas de datos en busca de patrones reconocibles, justo el tipo de procesamiento de datos que se vuelve increíblemente tedioso para un humano inteligente.
Agregue a eso las presiones ya mencionadas, el volumen y la velocidad de las vulnerabilidades, y este es el tipo de proceso ideal para IA automatizada.
El valor inmediato de AI es que reduce la búsqueda dentro de una mina de datos: como una lupa enfocada en el área más probable para encontrar esa aguja en la pila de agujas.
¿Pero puede extrapolar ese análisis en predicciones utilizables?
“La promesa de inteligencia artificial en el futuro es que en realidad podría llevarnos a una ciencia de datos donde podamos comenzar a hacer predicciones realistas sobre cuál es el ataque más probable contra usted, cuál es la vulnerabilidad más probable que se utilizará contra usted”, y ese tipo de cosas.
Ahora, no estoy sugiriendo por un momento que eso es donde estamos hoy, pero de eso es de lo que las personas están hablando, y lo que están sugiriendo es posible “.
Posible, pero ¿es inminente, o incluso probable? Jan Guldentops – Director de los Laboratorios de Pruebas de BA, con unos veinte años de experiencia práctica en seguridad en “ambos lados del muro”, dijo; “Inteligencia artificial es el próximo término de mierda …
Es IoT, es nube, es algo tan amplio que lo entendemos, pero realmente no sabemos de qué se trata. Hemos estado haciendo aprendizaje automático en la industria de la seguridad durante 15 años.
Su antispam se basa en el aprendizaje automático … Lo segundo que debemos recordar es que es una herramienta. No es magia … estamos a 20 años, a 30 años de la inteligencia artificial real “.
Roark Pollock, el Vicepresidente de Marketing de Ziften, estuvo de acuerdo en que las técnicas de inteligencia artificial han desempeñado un papel importante en la ciberseguridad, pero la diferencia es que el gran número de usuarios, el nivel que antes exigía a las supercomputadoras identificar las firmas de ataque, ahora puede tener lugar en el perímetro.
“Ahora puedo ejecutar modelos de inteligencia artificial o modelos de aprendizaje automático en esos puntos finales sin poner ese dispositivo de rodillas.
Puedo ejecutar el aprendizaje automático como una herramienta de seguridad en su punto final, su Apple, sus servidores, sus máquinas virtuales en la nube, y solo ocupa menos del 1% del dispositivo.
No mata el dispositivo desde un punto de vista de procesamiento “.
Señaló que no había duda de que la detección basada en firmas funcionaba, era solo que era un proceso lento para identificar y transmitir estas firmas.
Mientras tanto, se necesitaba otra protección para cubrir esa brecha
Otra área sensible en la que la IA tuvo un papel fue en torno al gran aumento de ataques sin archivos, que no permanecen en el almacenamiento esperando ser descubiertos, sino que van directamente a la memoria, sin ninguna acción por parte del usuario.
El fundador y CEO de Secrutiny, Simon Crumplin dijo que “la realidad es que no todas las amenazas son riesgos para las organizaciones. Lo que me sorprende de nuestra industria es que pasamos mucho tiempo hablando sobre malware …
Pero en realidad, para violar materialmente a una organización, el malware es solo el comienzo, y dedicamos todo nuestro tiempo y nos centramos en esto: lo llamo propaganda de amenazas “.
Su argumento posterior me recordó la historia de dos sabios con ampollas en sus pies y descalzos que intentaban resolver los problemas del mundo: el primero sugirió matar a todas las vacas del mundo para que la superficie de la tierra pudiera cubrirse con cuero, haciéndolo más cómodo para caminar.
El segundo sabio dijo que preferiría matar a una sola vaca para hacer sandalias de cuero para sus pies.
Crumplin sugirió que, a pesar de todo lo que se habla de una mejor tecnología: “determinar el riesgo y el apetito de riesgo con el negocio es lo principal que las organizaciones deben hacer y entender”.
Entonces pueden realizar inversiones que sean significativas para mitigar solo esos riesgos “.
Una versión más extrema de este novedoso enfoque llegó más tarde: “Lo que hemos visto en los últimos tres años es una serie de estudios de investigación que destacan el hecho de que las brechas de seguridad, las vulnerabilidades de seguridad, el robo de bases de datos, la amenaza de credenciales, la pérdida de tarjetas de crédito, tiene cero impacto en la línea de fondo de las empresas, cero impacto en el precio de las acciones …
A nadie le importa la seguridad de TI porque no tiene ningún impacto en el negocio. De hecho, las compañías que sufren grandes brechas y obtienen una gran cantidad de cobertura de prensa debido a esto, en realidad crecen como resultado de ese negocio”.
Esto fue claramente una exageración porque, como lo señalaron Guldentops y Pollock, la pérdida de confianza y reputación es un daño grave que no es tan fácil de cuantificar y desechar. Pero sí hizo un punto muy interesante.
Marcó el tipo de replanteamiento radical que más se necesita cuando la tecnología alcanza un punto impasible o de crisis. ¿No es hora de que nos olvidemos de cubrir el globo y echemos un vistazo más de cerca a nuestros pies?
Jan Guldentops sugirió otro papel importante para la tecnología. Mientras que las personas a veces claman por más especialistas en seguridad, lo que realmente se necesita es más automatización: “Necesitamos automatizar cosas simples, como la administración de la configuración. Al igual que el análisis de registro.
No lo llamemos AI todavía
“Esto se hizo más urgente por las presiones de cumplimiento, como con GDPR donde: “En primer lugar, debe informar una fuga de datos dentro de las 72 horas. De mis clientes, tal vez el 15% sea capaz de hacer eso “. Comentando más adelante:” El cumplimiento de códigos es un área perfecta para el aprendizaje automático y el procesamiento de lenguaje natural “.
Pollock tomó las últimas cifras de miedo para el número de alertas de seguridad, diciendo que esto fue en parte una consecuencia del cambio de la prevención a la detección: “Una de las razones por las que tenemos tantas alertas en estos días es que tenemos mucho mejor”. en la identificación de problemas después de que suceden … pasar de la prevención a la detección y la respuesta. Si estamos encontrando cosas que están sucediendo, estamos encontrando más alertas “.
Las preguntas y respuestas de la audiencia que siguieron comenzaron con un recordatorio de que, en la búsqueda de nuevas soluciones, no debemos olvidar las soluciones perimetrales tradicionales que todavía están haciendo un buen trabajo.
El aprendizaje automático está siendo acosado por todo el lugar, pero solo se están utilizando muchas rutas de ataque: “solo hay tantas frutas de bajo costo, y los hackers criminales están en minimax, obteniendo el máximo resultado con el mínimo esfuerzo”.
El viejo obstáculo del perímetro todavía juega un papel en disuadirlos.
De lo contrario, terminemos con otra observación radical de Guldentops que verdaderamente reflejó lo que habíamos escuchado en esta sesión: “Una de las grandes evoluciones entre los años 90 y ahora es que la industria de la seguridad se ha vuelto más modesta.
En la década de los 90, puedes tener a alguien en el escenario con arrogancia diciendo que tiene la solución para todo … “
Por Lionel Snell, Editor, NetEvents