El valor de la IA y el AA en el ámbito de la seguridad
Más allá del marketing
La inteligencia artificial (IA) y el aprendizaje automático (AA) son tecnologías muy presentes en el ámbito de la seguridad informática hoy en día, ya que resultan útiles tanto a las organizaciones como a los atacantes. Para estos últimos, son un buen medio de superar las defensas y encontrar vulnerabilidades más rápidamente. Pero ¿cuál es el valor real de la IA y el AA a la hora de proteger una organización?
Sería fantástico poder afirmar que estas tecnologías garantizan automáticamente la ciberseguridad y que el mero hecho de adoptarlas implica que su organización está totalmente protegida. Pero no es tan sencillo. Cada uso de la IA y el AA es un mundo. Y vaya por delante que no todo pasa por utilizar los algoritmos más modernos.
Sea como sea, para afrontar las amenazas actuales y la velocidad a la que se suceden, la IA y el AA deben formar parte de unasolución de seguridad integral que se utilice para prevenir el mayor número de ataques posible (o para responder cuanto antes a aquellos que acaben sucediendo).
La IA, por sí sola, no es la solución
La inteligencia artificial por sí sola no es un elemento diferenciador en términos de seguridad. De hecho, actualmente existen muchos sistemas y modelos de IA y su uso es bastante común. Normalmente, esos sistemas provienen del mundo académico y son implementaciones públicas de código abierto disponibles para quien quiera utilizarlas. Lo que marca la diferencia no es, por tanto, el tipo de sistema de IA, sino cómo se utiliza la IA y de qué datos dispone para aprender.
Qué hace que la IA sea mejor y más inteligente desde el punto de vista de la ciberseguridad
Sea cual sea su cometido, la IA que aprende a actuar mediante el aprendizaje automático necesita la máxima cantidad de datos posible de alta calidad para ser eficaz. Es gracias a la abundancia de esos datos de calidad que la IA llega a comprender los posibles escenarios. Cuantos más datos del mundo real adquiera, más inteligente será y más experiencia tendrá.
Esto tiene una lectura muy clara en el ámbito de ciberseguridad: no basta con aprender de una sola implementación o de un solo vector de amenazas. Lo que se necesita es una solución capaz de aprender de todas las implementaciones, y una herramienta que aproveche la información de todos los usuarios, no de una sola organización. Cuanto mayor sea el conjunto de entornos y usuarios, más inteligente será la IA. En este sentido, también es necesario un sistema capaz de manejar grandes volúmenes de datos de diferentes tipos.
La IA es bastante más que hacer cálculos con un ordenador. Si bien los datos son un componente crucial para que la IA sea eficaz, la IA y el AA en sí mismos también deben integrarse en los procesos operativos. Así, no deben considerarse tecnologías independientes, sino tecnologías facilitadoras que aportan valor a los procesos y operaciones de seguridad.
Las técnicas de IA de mayor éxito son las que, mediante el AA, aprenden combinando concordancias de patrones estadísticos a gran escala, junto con otras técnicas que integran elementos como el conocimiento de un determinado campo para facilitar un sistema híbrido. Normalmente, las técnicas estadísticas derivadas únicamente del AA son incapaces de adaptarse a las amenazas recién desarrolladas y no vistas anteriormente que, por definición, tienen poca o ninguna información estadística de referencia asociada a ellas. Del mismo modo, se puede aprovechar la experiencia en un determinado campo para crear una lógica (en muchos casos derivada parcialmente del análisis de datos a gran escala) que prevenga y detecte eficazmente las tácticas y técnicas específicas de los atacantes.
No obstante, consolidar esos conocimientos utilizando sistemas expertos genera tasas de error poco equilibradas y sesgadas en las implementaciones. Lo que se necesita es un sistema de IA que utilice información estadística obtenida a partir del AA junto con información generada dentro del campo en cuestión procedente de otras partes del sistema y que permita sacar conclusiones para prevenir ataques desconocidos, manteniendo tasas de error bajas y constantes en todos los casos.
Qué valor aportan realmente la IA y el AA a la ciberseguridad
Básicamente, utilizar bien la IA y el AA en el ámbito de la seguridad ayuda al centro de operaciones de seguridad (SOC, por sus siglas en inglés) de una organización a sacar más partido a los recursos con menos personal. Es un factor multiplicador que refuerza la capacidad de la organización y permite destinar las habilidades de los analistas al trabajo adecuado para aprovechar su experiencia
Uno de los usos habituales de la IA y el AA en el ámbito de la seguridad es establecer una referencia de lo que se considera la operativa normal para, a partir de ahí, alertar de las posibles anomalías. La IA y el AA también se pueden utilizar para mejorar la eficacia operativa detectando las tareas más rutinarias y repetitivas. La tecnología ayuda a crear o plantear libros de estrategias de automatización que ahorren tiempo y recursos.
La IA y el AA también permiten aprovechar las posibilidades que ofrece la automatización, que es la clave de la escalabilidad en entornos donde el personal y los recursos siempre son limitados. Hoy en día, los SOC se enfrentan a un mayor número de amenazas cada vez más sofisticadas con menos personal. Y lo que pretenden la IA y el AA es conseguir un buen nivel de seguridad, rápidamente y con recursos por lo general muy escasos.
Cómo mejorar el nivel de seguridad mediante la IA y el AA
En las operaciones de seguridad, nunca hay un solo problema que resolver, sino una serie de problemas que suelen estar conectados. Con la ayuda de la IA y el AA se puede mejorar la automatización y eliminar los procesos manuales en todas las operaciones de seguridad, para así impedir que un buen número de riesgos acaben provocando incidentes de seguridad. Evitando un mayor número de riesgos, la organización podrá responder de forma más eficaz, ya que la cantidad de incidentes de seguridad reales será menor. La IA y el AA le ofrecen la posibilidad de concentrarse en lo importante y de estar a la altura de las amenazas utilizando las mismas herramientas que los atacantes, pero para fortalecer la estrategia de seguridad general de su organización.