10 soluciones de CiberSeguridad basadas en IA – Parte 1

By | 10 agosto, 2023
0 Comment

1. Introducción a CiberSeguridad IA

Originalmente, la Inteligencia Artificial (IA) se introdujo como concepto para imitar el cerebro humano e investigar los problemas del mundo real con un enfoque humano holístico. Puede considerarse una combinación de tecnología de la información e inteligencia fisiológica, que puede utilizarse computacionalmente para alcanzar objetivos. La IA permite utilizar y procesar de forma inteligente grandes cantidades de datos almacenados, lo que posibilita la creación de herramientas funcionales.

La IA se ha utilizado para proporcionar aplicaciones inteligentes en diversas áreas, como la defensa, la sanidad y la exploración espacial. Entre las nuevas áreas de aplicación de la IA se incluye la gestión de la salud estructural (SHM), donde la IA puede proporcionar previsiones y, en última instancia, ahorrar en costes de reparación.

Las organizaciones están empezando a utilizar la IA en ciberseguridad para proporcionar una mejor seguridad de la información contra atacantes cada vez más hábiles. La IA ayuda a automatizar procesos complejos y complicados para identificar ataques y reaccionar ante las violaciones de los sistemas de información. Este tipo de

aplicaciones se están desarrollando y son cada vez más avanzadas y completas al aprovechar las ventajas de la IA.

El aprendizaje automático es un área central de la inteligencia artificial. Se refiere a las tecnologías que proporcionan un medio para enseñar a los ordenadores a aprender y adaptarse a través de la experiencia. Este componente tecnológico estimula la cognición humana, como el aprendizaje a partir de la experiencia y los patrones en lugar del razonamiento (es decir, causa y efecto).

Las áreas de ciberseguridad analizadas son las siguientes

1. Seguridad de las infraestructuras,
2. Seguridad de los puntos finales,
3. Seguridad de las aplicaciones,
4. IoT-security,
5. Seguridad web,
6. Operaciones de seguridad y respuesta a incidentes,
7. Inteligencia sobre amenazas,
8. Seguridad móvil,
9. Seguridad en la nube,
10.Gestión de identidades y accesos,
11.Seguridad de la red,
12.Seguridad humana.

Este estudio analiza las aplicaciones que utilizan la inteligencia artificial de diferentes fabricantes. Las aplicaciones estudiadas hacen uso de la inteligencia artificial para predecir, reconocer y prevenir amenazas y anomalías en la seguridad de la información. El análisis de las aplicaciones pretende ofrecer una visión general del tipo de soluciones de ciberseguridad que utilizan la inteligencia artificial y de lo que pueden ofrecer en la resolución de problemas.

Presentamos 10 soluciones de ciberseguridad basadas en IA que abarcan diversos ámbitos de la ciberseguridad. Las soluciones presentadas en este estudio se recopilaron al realizar el anterior trabajo de investigación: «Inteligencia Artificial en el Entorno de la Ciberseguridad», reexaminado e investigado más a fondo.
El principio de clasificación utilizado en este estudio puede entenderse como taxonomía. Describe las áreas más cruciales de la ciberseguridad tratadas en este estudio.

2. Inteligencia artificial y aprendizaje automático

La inteligencia artificial puede considerarse un término general. Puede utilizarse para simular actividades humanas y resolver problemas de forma más rápida y eficiente que los humanos. Se pueden realizar varias tareas utilizando métodos como el procesamiento del lenguaje natural (PLN), el análisis predictivo y prescriptivo o el aprendizaje automático y profundo. Estos métodos también pueden utilizarse para resolver problemas de ciberseguridad [6].

El aprendizaje automático se puede dividir en dos tipos principales, que son el aprendizaje automático supervisado y el aprendizaje automático no supervisado. El ML supervisado utiliza algoritmos que pueden aprender de los datos introducidos por un usuario; por lo tanto, se requiere la intervención humana para etiquetar, clasificar e introducir los datos en el algoritmo [23]. Una de las ventajas de utilizar el ML supervisado es la recopilación de datos y la producción de resultados a partir de experiencias previas, la optimización del rendimiento basada en criterios con la ayuda de la experiencia y la posibilidad de resolver problemas computacionales del mundo real. A su vez, la clasificación de big data puede suponer un reto y el entrenamiento puede requerir una cantidad notable de tiempo de computación [26].

El aprendizaje automático supervisado puede agruparse a su vez en problemas de regresión y clasificación. Los problemas de clasificación utilizan un algoritmo específico para asignar los datos de prueba a categorías y, a continuación, clasificar un objeto dentro de las distintas clases; por ejemplo, determinar si un correo electrónico es spam y separar los correos spam de la bandeja de entrada. El método de regresión predice un valor numérico, por ejemplo, al comprobar la demanda de ocupación de un hotel [22]. Los métodos de clasificación más conocidos son, por ejemplo, Support Vector Machines (SVM), Naïve Bayes y K-Nearest neighbor. Los métodos de regresión típicamente utilizados son la Regresión Lineal, SVR, Métodos Ensemble, Árboles de Decisión y las populares Redes Neuronales [48].

El aprendizaje automático no supervisado consiste en entrenar una máquina utilizando información que no está clasificada ni etiquetada. El método no supervisado utiliza algoritmos específicos de aprendizaje automático para analizar y agrupar conjuntos de datos no etiquetados sin necesidad de intervención humana. El algoritmo ML agrupa la información no clasificada según diferencias, patrones y similitudes sin entrenamiento previo de los datos, encontrando la estructura oculta en los datos no etiquetados [26].

Los modelos no supervisados pueden agruparse en dos tipos principales: clustering y asociación. El clustering es una técnica de minería de datos que puede utilizarse para clasificar datos no etiquetados en grupos basados en sus similitudes o diferencias. El clustering puede utilizarse, por ejemplo, para realizar una segmentación de clientes en función de lo que han comprado utilizando, por ejemplo, el clustering de K-means para asignar puntos de datos similares en grupos. La asociación puede descubrir reglas y encontrar relaciones entre variables dentro del conjunto de datos específico. Este método se ha utilizado, por ejemplo, para el análisis de cestas de la compra y motores de recomendación [22].

El aprendizaje automático tiene un subcampo, el aprendizaje profundo, en el que el aprendizaje se realiza con modelos que tienen múltiples capas dentro de su estructura. El DL puede ser supervisado, semisupervisado o no supervisado. La profundidad adicional puede ayudar a los modelos a aprender asociaciones más complejas dentro de los datos dados que los modelos de IA normales [36]; de ahí que los modelos de AD se denominen profundos. La IA es una opción muy atractiva para muchos casos de uso diferentes, en los que la función que debe estimarse es desconocida o difícil de aplicar en la práctica, como las traducciones automáticas. En la práctica, la calidad y cantidad de los datos, la estructura del modelo y el tiempo de entrenamiento, así como el método de entrenamiento, afectan al modo en que cualquier IA aprende a tomar sus decisiones.

La red neuronal (NN) es un modelo base popular y la columna vertebral de los algoritmos de DL, utilizado en el desarrollo de soluciones de inteligencia artificial. El modelo consta de tres capas: una capa de entrada, una capa oculta y una capa de salida, donde los datos fluyen desde la capa de entrada a través de la capa oculta formada por múltiples capas, y el resultado se produce a la capa de salida. Las redes neuronales son una colección de nodos estructurados e interconectados cuyos valores se componen de todos los pesos de las conexiones que llegan a cada nodo. Cada valor de un nodo se introduce en una función de activación, como una unidad lineal rectificada (ReLu). La función de activación suele ser la misma para todos los nodos de una misma capa.

3. Ciberseguridad

Las medidas de ciberseguridad están asociadas a la gestión de riesgos, el parcheado de vulnerabilidades y la mejora de la resistencia de los sistemas. Entre los principales temas de investigación figuran las técnicas asociadas a la detección de diferentes anomalías de comportamiento en la red y de programas maliciosos, así como las cuestiones informáticas relacionadas con la seguridad informática. En resumen, la ciberseguridad puede definirse como una serie de acciones emprendidas en defensa contra los ciberataques y sus consecuencias, e incluye la aplicación de las contramedidas necesarias. La ciberseguridad se basa en el análisis de amenazas de una organización o institución. La estructura y los elementos de la estrategia de ciberseguridad de una organización y su programa de implementación se basan en las amenazas estimadas y los análisis de riesgos. En muchos casos se hace necesario preparar varias estrategias y directrices de ciberseguridad específicas para una organización [37].

Amenaza, vulnerabilidad y riesgo forman una entidad entrelazada en el mundo cibernético. El sistema subyacente es un objeto físico valioso, una competencia o algún otro derecho inmaterial, que necesita protección y salvaguarda. Una amenaza es un evento cibernético dañino, que puede ocurrir. El valor numérico de la amenaza representa su grado de probabilidad. La vulnerabilidad es la debilidad inherente al sistema, que aumenta la probabilidad de que se produzca o agrava sus consecuencias. Las vulnerabilidades pueden dividirse en las que existen en la acción humana, los procesos o las tecnologías. El riesgo es el valor del daño esperado. El riesgo es igual a la probabilidad multiplicada por la pérdida.

Puede evaluarse desde el punto de vista de sus consecuencias económicas o de la pérdida de valor nominal. La gestión del riesgo se compone de los siguientes factores: asunción del riesgo, atenuación del riesgo, evitación del riesgo, limitación del riesgo, planificación del riesgo y transferencia del riesgo. Las contramedidas pueden agruparse en las tres categorías siguientes: reglamentación, soluciones organizativas (es decir, gestión, procesos de seguridad, métodos, procedimientos y cultura de seguridad) y soluciones tecnológicas de seguridad [37].

4. Inteligencia artificial y soluciones de ciberseguridad

Los ciberataques dirigidos contra organizaciones pueden llevarse a cabo de muchas formas, que pueden consistir en un solo acto o en una combinación de pasos discretos hilvanados. Estos actos pueden consistir en una explotación complicada de la codificación o en el simple uso de la ingeniería social para revelar información confidencial o acceder a ella [3].

La inteligencia artificial no sólo incluye amenazas y factores de riesgo, sino que también puede actuar como solucionador de problemas. La inteligencia artificial y el procesamiento cognitivo de datos se utilizan para detectar, defenderse y examinar los ciberataques. Las soluciones modernas de seguridad de la información están creadas por el hombre o por la máquina. Las llamadas soluciones analíticas se basan en las reglas creadas por los expertos en seguridad informática, que ignoran los ataques que no se ajustan a las reglas establecidas. Los enfoques basados en el aprendizaje automático se basan en la identificación de anomalías que pueden identificar falsos positivos, lo que crea una sensación de desconfianza hacia el sistema y, por tanto, requiere un esfuerzo humano para investigar los casos ([11], 6).

Se necesitan soluciones eficaces de inteligencia artificial para gestionar la ciberseguridad de grandes cantidades de datos. Pueden utilizarse para mejorar el conocimiento de la situación y aplicar medidas de protección eficaces. La industria ha desarrollado diversas soluciones de ciberseguridad basadas en inteligencia artificial, que se presentan en la siguiente sección.

4.1. AI2

El Laboratorio de Ciencias de la Computación e Inteligencia Artificial (CSAIL) del MIT y PatternEx han desarrollado una plataforma de inteligencia artificial AI2 para predecir ciberataques incorporando las aportaciones de expertos humanos. Un ciberataque típico tiene una firma de comportamiento que requiere varios pasos para cometerlo. La información pertinente para cuantificar estas firmas se almacena en los datos brutos y se proporciona en forma de registros. En general, los sistemas de detección de anomalías provocan un gran número de falsas alarmas positivas que requieren mucho tiempo y esfuerzos de investigación. La combinación de inteligencia artificial con inteligencia humana proporciona resultados mucho mejores en comparación con los sistemas tradicionales y los sistemas que sólo utilizan aprendizaje automático no supervisado [9].

Según Conner-Simons [9], la plataforma AI2 fue capaz de alcanzar una precisión del 86% en la detección de ciberataques, lo que supone aproximadamente tres veces más que los resultados de estudios anteriores. Las pruebas se realizaron con 3.600 millones de componentes de datos (líneas de registro), que fueron generados por millones de usuarios en un periodo de investigación de tres meses. Para prevenir los ataques, AI2 identifica las actividades sospechosas aplicando algoritmos de agrupación a los datos de entrada mediante algoritmos de aprendizaje automático no supervisado. AI2 combina tres métodos distintos de aprendizaje no supervisado y proporciona los resultados a los analistas para que los etiqueten.

De ahí que los resultados se presenten a los analistas, que utilizan la intuición para confirmar qué incidentes son ataques reales. Los analistas también incorporan el resultado a los modelos de la plataforma (aprendizaje supervisado) para el siguiente conjunto de datos, lo que permite seguir aprendiendo y forma un sistema de aprendizaje activo continuo. El sistema también es capaz de generar continuamente nuevos modelos en cuestión de horas, lo que puede mejorar significativamente la velocidad de su capacidad de detección de ciberataques.

En AI2, las características se extraen de las entradas de registro y el primer día AI2 selecciona los 200 eventos más anómalos y se los proporciona al experto. A medida que el proceso de aprendizaje de la IA progresa en el tiempo, puede identificar más y más de los eventos como ataques reales, lo que significa que los expertos sólo podrían centrarse en el estudio de 30-40 eventos al día. Un conjunto de modelos de aprendizaje no supervisado genera un conjunto de k eventos que deben analizarse al día, donde el presupuesto diario k de eventos que pueden analizarse es un parámetro configurable. Para entrenar un modelo supervisado, es necesario el juicio humano. Los resultados de los métodos supervisados y del conjunto de métodos no supervisados para refinar los k eventos deben presentarse a los expertos, que pueden volver a entrenar el modelo supervisado. El proceso continúa de forma iterativa.

Los investigadores recopilaron 3 meses de datos con conocimiento de los ataques, que se utilizaron para evaluar si la solución puede mejorar los índices de detección de ataques (recall), reduciendo al mismo tiempo el número de alertas mostradas al analista («presupuesto diario de investigación» K). Con AI2 se pueden alcanzar tasas de detección de ataques de como máximo el 86%, incluso con un presupuesto de investigación diario extremadamente bajo (K = 200), frente al 9% utilizando un algoritmo ordinario de aprendizaje automático no supervisado. Cuando el presupuesto de investigación diario es de 200, la tasa de falsos positivos es sólo del 4,4%. Utilizando el aprendizaje automático sin supervisión, se puede alcanzar una tasa de detección de aproximadamente el 73,5%, mientras que la tasa de falsos positivos es superior al 22% de los sucesos sospechosos. La plataforma AI2 funciona con inversiones considerablemente menores que un sistema que utilice y un algoritmo ordinario de aprendizaje automático no supervisado ([55], 49).

4.2. CylanceProtect

CylanceProtect [10] es una herramienta de prevención de amenazas de clase empresarial diseñada para empresas de todos los tamaños y capaz de detener ataques conocidos y desconocidos. La herramienta combina las ventajas de la inteligencia artificial con controles adicionales de seguridad de la información para evitar infecciones de malware y ataques basados en secuencias de comandos, sin archivos, en la memoria y en dispositivos externos. A diferencia de las herramientas de seguridad tradicionales basadas en el análisis de firmas y en el comportamiento de los usuarios para identificar amenazas de seguridad en el entorno, CylanceProtect

Detecta y previene la explotación de la memoria: capacidad para identificar y detener ataques sin archivos con respuestas de prevención inmediatas y automatizadas,

– Detecta y previene ataques desconocidos y de día cero,
– Detecta que los empleados ejecuten scripts no autorizados y potencialmente maliciosos,
– Impide que los archivos adjuntos maliciosos del correo electrónico detonen sus cargas útiles,
– Evita que los ataques de ransomware, como NotPetya, WannaCry, Goldeneye y Satan se ejecuten y secuestren datos importantes,
– Proporciona control de aplicaciones para dispositivos de función fija,
– Admite la gestión de secuencias de comandos para determinar cuándo y dónde se permite la ejecución de secuencias de comandos y por quién,
– Utiliza la aplicación de políticas de uso de dispositivos: asigna reglas de acceso en dispositivos externos que pueden ser potenciales vectores de ataque,
– Utiliza sofisticados modelos de aprendizaje automático, capaces de analizar 2,7 millones de propiedades de archivos para detectar si son benignos o maliciosos.

CylanceProtect también funciona como solución de defensa frente a amenazas móviles (MTD), y puede utilizarse para proteger todos los puntos finales y dispositivos móviles frente a amenazas maliciosas avanzadas sin interrumpir a los usuarios finales. La solución MTD es capaz de supervisar las amenazas tanto a nivel de aplicación como de dispositivo. A nivel de dispositivo, la solución tiene capacidad para identificar vulnerabilidades y posibles actividades maliciosas mediante la supervisión de actualizaciones del sistema operativo, parámetros del sistema, configuraciones del dispositivo y bibliotecas del sistema. A nivel de aplicación, la solución utiliza el sandboxing de aplicaciones y el análisis de código, así como pruebas de seguridad a nivel de aplicación para identificar malware y grayware. Además, la solución utiliza inteligencia artificial y detección basada en aprendizaje automático para identificar amenazas de malware procedentes de aplicaciones cargadas lateralmente, lo que proporciona una capa adicional de protección. La solución también ofrece una solución avanzada de contenedorización para aplicaciones móviles [5].

Related Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *