La AI aplicada a la ciber defensa puede ser la nueva gran promesa

Todavía no se convierte en la principal corriente entre las distintas soluciones de ciberseguridad, pero no hay que perder de vista soluciones como Darktrace. 

De acuerdo con Nicole Eagan, CEO de la empresa de software de seguridad Darktrace, solo dos de cada diez expertos en ciberseguridad típicamente adoptan la inteligencia artificial (AI) como un componente clave de la detección de amenazas. El resto, asegura, tiende a ser “totalmente resistente” o acepta “darle chance a AI” pero no ponen el esfuerzo requerido para sacarle provecho a la adquisición.

Si, en teoría, la AI tiene el potencial de identificar un mayor número de problemas, ¿por qué no lo usan más equipos de seguridad? Mike Small, analista senior de la firma KuppingerCole, considera que muchos actualmente utilizan AI, pero no piensan en ella como inteligencia artificial. Darktrace y sus competidores realizan detección de amenazas a un nivel superior que el software antivirus. Pero Small considera que su labor no es completamente única. De acuerdo con el experto, AI es una forma elevada de analítica del comportamiento que busca patrones e identifica posibles amenazas y vulnerabilidades. La mayoría de las grandes plataformas de ciberseguridad, como Symantec y McAfee tienen este tipo de tecnología incluida. La diferencia reside en que estos últimos se basan en amenazas que han visto suceder en otros casos.

Laura Jiménez, directora de Darktrace para América Latina, dijo en entrevista que “el enfoque y acercamiento a la seguridad de las plataformas tradicionales es mostrar lo que han visto en otros clientes. Se basan en firmas y en reglas. La AI ve las cosas inusuales, desde cero, sin tener ningún tipo de prejuicio de qué es bueno y qué es malo”.

Los detractores de este tipo de soluciones aseguran que no es tan fácil que una herramienta de detección de amenazas basada en AI resuelva los problemas de seguridad de la información actuales. “AI es como una caja negra, pues no se sabe si una bandera es genuina o se trata de una falsa alarma: o te da una respuesta correcta o te da una incorrecta. Y si es la incorrecta, no se sabe por qué”, asegura Small.

Al respecto, Jiménez aseguró que la tecnología de Darktrace “no hace falsos positivos”. “Como usuario tengo manera de entrenarla. Puede aprender el comportamiento de un usuario y saber cuál es inusual, o de un dispositivo, y va creando perfiles, patrones de vida consistentes. Por eso puede detectar cosas inusuales que el cliente no sabía que estaban pasando en su red, como puertos o protocolos abiertos”, abundó la ejecutiva.

Imita el sistema inmunológico

Darktrace se autodefine como la compañía líder a nivel mundial en ciber inteligencia artificial y creador de la tecnología de Respuesta autónoma. Su AI de auto aprendizaje busca imitar el sistema inmunológico humano. Asegura que está en uso en más de 3,000 organizaciones para protegerse contra amenazas en la nube, el correo electrónico, IoT, redes y sistemas industriales. Esto incluye las amenazas internas, espionaje industrial, malware de día cero, pérdida de datos, riesgos de cadena de suministros y vulnerabilidad de infraestructura de largo plazo.

La compañia tiene más de 900 empleados, 40 oficinas y sede tanto en San Francisco, California, como en Cambridge, Reino Unido. En su página web asegura que combate una ciber amenaza cada tres segundos, previniendo que cause daños.

“Darktrace es líder en ciberseguridad. Los clientes buscan este tipo de solución, porque las tradicionales no cubren 100% lo que están viendo. Nuestra tecnología es tan innovadora que a los clientes les ha gustado mucho en toda América Latina. Llevamos cuatro años en la región, lo que nos da buena ventana de tiempo para mostrar a los clientes de qué se trata”, dijo Jiménez.

La ejecutiva añadió que pueden tomar acción a partir del monitoreo de comportamientos anormales o distintos, de manera que no importa si ese ataque se ha visto o no. “No estamos sesgados a cosas que sean conocidas en otras organizaciones”, aseguró.

Todas las empresas son distintas, así como los sistemas inmunológicos. Siguiendo la analogía que usa Darktrace, la piel no es suficiente, como la seguridad perimetral. El sistema inmune no avisa a tiempo antes de un cáncer o una enfermedad terminal. En cambio, el sistema de AI de Darktrace aprende, sin importar el tipo de dispositivo, y genera el patrón de vida para determinar qué es normal y qué no lo es.

Desde el principio puede detectar síntomas, desde las primeras fases, de lo que se está conectando, como movimientos laterales de dispositivos, ver una conexión de una IP diferente, un puerto que no se ha conectado o un puerto no utilizado. Darktrace ve esos eventos y alerta que corresponden al mismo dispositivo y pertenecen a la misma agresión, y que existe una gran posibilidad de que la organización esté a la mitad de un ataque. Siguiendo con la analogía, el responsable de seguridad IT tiene la posibilidad de lanzar los antígenos, ya sea de manera manual o, cuando tenga buen entrenamiento, de forma automática.

Darktrace analiza 350 métricas, dimensiones de cada dispositivo, usuario o red. Así logra ver a los atacantes que tratan de disfrazarse dentro de la red, por pequeños cambios de comportamiento, lo mismo que en ambientes cloud. “Es como un vigilante que se sienta y empieza a observar todo lo que está sucediendo; puede ver comportamientos en tráfico usual e inusual”, abundó Jiménez.

Las anomalías, dijo, se pueden ver en el momento, en 20 segundos, en cambio las otras empresas las están viendo recién después de un par de horas. “El 35% de los ataques son causados internamente por empleados, conscientes o no, y no son los mismos para todas las empresas. En nuestros caso, el cliente no tiene que esperar para mandar una actualización de otro ataque similar en algún lugar del mundo, como ataques de día cero, o un dispositivo que está haciendo movimientos laterales. Los ataques son siempre muy particulares, de red, de tipo de arquitectura, o industria”, explicó la ejecutiva de Darktrace, empresa privada con una valuación de mercado de $1,650 millones de dólares.

En la región latinoamericana, la firma fundada por el controvertido Mike Lynch (también fundador de Autonomy), tiene oficinas en Colombia, Brasil y México. En este último suma ya 30 clientes, la mayor parte en la industria financiera. Cuestionada sobre la falta de inversión en seguridad IT, a pesar de que ha aumentado la conciencia sobre las vulnerabilidades y el continuo asedio de los cibercriminales, Jiménez respondió: “Con las pruebas de valor podemos justificar la inversión y la diferencia con respecto a otras herramientas. Nos dicen ‘no hay presupuesto’ y cuando hacemos la prueba de concepto corren a ver de dónde pueden obtener el dinero”.

Mónica Mistretta

Mónica es fundadora, presidenta y directora general de Netmedia. Su trayectoria periodística inició en la revista Expansión. Ha sido editora y creadora de publicaciones especializadas en IT durante más de tres décadas. Escribe su columna “Contraseña” desde inicios de la década de los 90, misma que sigue vigente en su blog personal. Ha sido conductora, moderadora y conferencista en múltiples foros de la industria, y ha entrevistado a decenas de líderes de las principales compañías del medio.

Related posts

Deja un comentario