10 soluciones de CiberSeguridad basadas en IA – Parte 3

By | 10 agosto, 2023
0 Comment

4.7. Plataforma de detección y respuesta a amenazas Vectra Cognito

La plataforma de detección y respuesta a amenazas Vectra Cognito utiliza algoritmos de aprendizaje automático basados en IA para priorizar y detener los ciberataques entrantes. La plataforma abarca desde entornos híbridos y nativos en la nube de AWS y Azure, incluidas aplicaciones de software como servicio (SaaS), por ejemplo, Microsoft Office 365 utilizando la identidad en Azure AD hasta cargas de trabajo de centros de datos, IoT y redes empresariales. La plataforma consta de Cognito Detect for Network para detectar y priorizar amenazas ocultas en centros de datos y redes empresariales, Cognito Detect for Microsoft Office 365 para detectar y priorizar amenazas ocultas en Microsoft Azure AD y Office 365, Cognito Recall para realizar búsquedas e investigaciones de amenazas en la nube y servicios Cognito Stream para entregar metadatos enriquecidos con seguridad a SIEM para detección personalizada [54].

La plataforma Vectra Cognito utiliza tecnologías de aprendizaje automático supervisado y no supervisado para combatir a los ciberatacantes maliciosos. Los sistemas tradicionales de seguridad de la información intentan identificar los ciberataques buscando firmas y exploits ya conocidos. Un ciberatacante puede utilizar esta información contra el sistema. Cognito aprende de la actividad de la red durante mucho tiempo, como días, semanas o meses. Cognito identifica el comportamiento en línea del atacante en cada paso de la cadena del ciberataque. El comportamiento identificado del atacante es categorizado y comparado con el comportamiento ordinario del usuario, utilizando servidores que ya han sido evaluados en cuanto al riesgo. Los que forman parte de una campaña individual de ciberataques coordinados se identifican como los que muestran un comportamiento de atacante. En este caso, los administradores pueden concentrarse en dirigir sus recursos a los ataques que suponen un mayor riesgo para la empresa ([41], 1).

Cognito Detect utiliza la inteligencia artificial para generar una imagen detallada en tiempo real de los ciberataques en curso para reaccionar ante ellos. Cognito combina sofisticadas tecnologías de aprendizaje automático, como el aprendizaje profundo y las redes neuronales, con modelos conceptuales de aprendizaje continuo, con el fin de localizar rápida y eficazmente a los atacantes ocultos y desconocidos antes de que causen daños. Cognito detecta al instante las amenazas de mayor riesgo y las correlaciona y prioriza con los hosts para proporcionar medios a los equipos de seguridad que les permitan iniciar acciones más rápidamente y detener los ataques en curso y evitar la pérdida de datos. Cognito también elimina los denominados «puntos ciegos» analizando todo el tráfico de red y los archivos de registro de los sistemas de autenticación y seguridad de la información y de las «aplicaciones» SaaS. Esto proporciona una instantánea completa de la situación de los usuarios y los dispositivos IoT en relación con los procesos en ejecución en la nube y los centros de datos, evitando que los atacantes se oculten ([41], 1).

Cognito Detect también extrae metadatos de red en lugar de realizar una inspección profunda de paquetes y proporciona visibilidad en tiempo real del tráfico de la nube y de la empresa. El análisis de metadatos puede aplicarse a todo el tráfico interno, el tráfico con destino a Internet, la infraestructura virtual y los entornos en la nube. Cognito puede identificar, rastrear y puntuar todos los dispositivos y software habilitados para IP, como portátiles, servidores, impresoras BOYD y dispositivos IoT, sistemas operativos y aplicaciones e incluso aplicaciones SaaS desde la nube a la empresa. A continuación, los metadatos recopilados se analizan mediante algoritmos de detección de comportamientos, que pueden revelar adversarios ocultos y desconocidos. Se exponen comportamientos comunes realizados por los adversarios, como herramientas de acceso remoto, túneles ocultos, puertas traseras, abuso de credenciales, reconocimiento interno y movimiento lateral, etc. [51].

Cognito detect puede integrarse con otros servicios, como cortafuegos, soluciones de seguridad de endpoints, NACs, soluciones SIEM, como ArcSight, Splunk o QRadar y otros puntos de aplicación para prevenir automáticamente y a la vez ocultar los ciberataques entrantes. La API REST de Cognito permite la respuesta automatizada y la aplicación con básicamente todas las soluciones de seguridad, proporcionando una solución de seguridad más completa [51].

Cognito Detect para Office 365 amplía la plataforma Cognito, que cuenta con capacidades para salvaguardar nubes públicas, centros de datos privados y entornos empresariales para cubrir Microsoft Office 365. Debido a las deficiencias de la seguridad preventiva tradicional, Cognito Detect para Office 365 es capaz de detectar y detener ciberataques conocidos y desconocidos antes de provocar brechas de seguridad. La herramienta detecta y prioriza de forma autónoma los comportamientos de los adversarios, acelera las investigaciones y aplica el descubrimiento proactivo de ciberamenazas. Cognito Detect para Office 365 tiene una función para leer registros de actividad de varios servicios, como O365, Azure AD, SharePoint/OneDrive, Teams y Exchange. Vectra Cognito AI tiene un amplio conocimiento de la semántica de las aplicaciones de O365 y utiliza modelos de aprendizaje automático supervisado y no supervisado. La herramienta es capaz de percibir patrones de comportamiento de un adversario a través de la estructura (kill chain) de todo el ataque analizando, por ejemplo, inicios de sesión, creación/manipulación de archivos, configuración de DLP y configuración de enrutamiento de buzones y cambios de automatización, lo que da como resultado detecciones procesables de alta precisión en lugar de alertas de anomalías. Estas detecciones pueden detectar adversarios novedosos y nunca vistos con un alto porcentaje de éxito [52].

Cognito Detect automatiza la detección en tiempo real de adversarios ocultos en cargas de trabajo en la nube y centros de datos y, además, en dispositivos de usuario e IoT, proporcionando a Cognito Recall un punto de partida para realizar la caza de amenazas asistida por IA. Cognito Recall es un servicio en la nube de Vectra que puede almacenar metadatos históricos de red para apoyar la investigación forense de seguridad y la caza de amenazas asistida por IA en cargas de trabajo de nube y centro de datos y dispositivos de usuario e IoT. Cognito Recall almacena los metadatos que extraen los sensores de red y los pone a disposición de los analistas para ayudarles en la caza de amenazas. Cognito Recall procesa la información (por ejemplo, dirección IP, nombres de cuentas y dispositivos, cookies HTTP, disposición del teclado, etc.) para buscar actividad maliciosa en la red [53]. Las capacidades de Vectra Recall, tal y como se resumen, capacitan a los cazadores de amenazas, permiten la investigación inteligente de la actividad de los dispositivos, proporcionan visibilidad en toda la empresa y ofrecen una escala ilimitada impulsada por la nube [49].

La aplicación Cognito Stream proporciona visibilidad del tráfico de red mediante la transferencia de metadatos de búsqueda enriquecidos con seguridad desde la nube nativa, la nube híbrida, el tráfico de Internet, interno y de infraestructura virtual en formato Zeek compacto y fácil de entender que aprovecha las herramientas existentes a los lagos de datos y SIEM para fines de corrección, búsqueda y análisis. Los lagos de datos en cuestión pueden poseer soporte Kafka, syslog y Elastic. Se identifica y rastrea cada dispositivo que utiliza una dirección IP en la red. Se ha utilizado el aprendizaje automático para generar perspectivas de seguridad incrustadas en los metadatos para que los cazadores de amenazas obtengan rápidamente resultados notables con el fin de llegar a conclusiones correctas. La aplicación también proporciona visibilidad a servidores, portátiles, impresoras, dispositivos BOYD e IoT, sistemas operativos y aplicaciones, y además, tráfico entre cargas de trabajo virtuales en centros de datos y la nube [50].

4.8. IBM Maas360

IBM Maas360 proporciona una solución de gestión unificada de puntos finales (UEM) basada en cloud diseñada para ayudar a las organizaciones a gestionar y proteger una amplia variedad de puntos finales, usuarios finales, incluidas aplicaciones, contenido y datos. Varios tipos de amenazas se dirigen a los usuarios y dispositivos que UEM está diseñado para defender. MaaS360 proporciona un entorno seguro que mantiene separadas las aplicaciones y los contenidos de la organización, lo que permite eliminar y revocar el acceso con facilidad [40]. La gestión de identidades nativa proporciona a los usuarios legítimos acceso sólo a los datos y recursos aprobados, mientras que la defensa contra amenazas integrada protege proactivamente los datos corporativos. MaaS360 puede mantener los archivos de las organizaciones que contienen secretos comerciales separados de las aplicaciones instaladas en un dispositivo móvil. Esto permite a los empleados de las organizaciones trabajar sin poner en peligro tanto la seguridad de los datos como la de la información del dispositivo. La solución simplifica la gestión informática, ya que sólo necesita supervisar el entorno que controla una aplicación y no todo el dispositivo [25].

MaaS360 puede utilizarse en las principales plataformas informáticas, como dispositivos iOS, MacOS, Android y Windows. La solución también es compatible con plataformas Windows heredadas, Windows XP SP3, Windows Vista, Microsoft Windows 7, 8 y 10 y Microsoft Windows 10 mobile. MaaS360 UEM permite a los administradores de TI consolidar la gestión de todo tipo de dispositivos, independientemente de las plataformas o sistemas operativos con los que funcionen. Las soluciones tradicionales, como una combinación de herramientas de gestión de dispositivos móviles (MDM) y de gestión de clientes, no suelen proporcionar medios para integrarse entre sí, por lo que no es posible presentar una visión consolidada del estado de seguridad de los dispositivos y de la actividad de los usuarios [28].

MaaS360 incluye un cierto tipo de contenedor de datos construido para la gestión y el almacenamiento de datos. Cuando se utiliza el contenedor, la aplicación UEM se convierte en una suite de productividad, que entrega correo, calendario, contactos y otras aplicaciones y recursos empresariales a un sandbox cifrado diseñado e implementado para restringir la copia, exportación o descarga de datos sensibles. Las aplicaciones dentro del contenedor imitan el aspecto y la usabilidad de los correspondientes del SO del dispositivo, lo que facilita la transición. La contención también puede extenderse a las aplicaciones externas del contenedor utilizando la gestión de aplicaciones móviles (MAM), que permite configurar determinadas aplicaciones empresariales para que exijan autenticación o restrinjan los medios de un usuario para migrar datos fuera de la aplicación en cuestión [32]. A pesar de la funcionalidad restrictiva, la solución permite a los administradores añadir y distribuir documentos a los dispositivos inscritos y proporcionar un acceso a contenidos distribuidos y repositorios en la nube, como Microsoft Sharepoint, Box, OneDrive y google Drive.

El contenedor también ayuda a garantizar que los datos se almacenan en un dispositivo móvil en lugar de en servidores, lo que los hace accesibles para el personal del proveedor de servicios. Además, el contenedor proporciona herramientas para garantizar que los derechos de tratamiento de datos se regulan en función de la demanda. Los datos se cifran mediante el algoritmo de cifrado AES-256 CTR, algoritmo compatible con CommonCrypto FIPS 140-2 (dispositivos Apple) o el algoritmo de cifrado SQLCipher + OpenSSL (AES-256) en dispositivos Android. El software cumple los requisitos del Reglamento General de Protección de Datos (GDPR) [29].

Una característica crucial de MaaS360 es el análisis cognitivo proporcionado por IBM Watson, una tecnología cognitiva que puede analizar e interpretar todo tipo de datos. Sus capacidades de lenguaje natural, aprendizaje automático y minería de datos se han utilizado para resolver una amplia variedad de problemas, desde decisiones sobre el tratamiento del cáncer hasta previsiones meteorológicas [27]. MaaS360 con análisis cognitivo permite utilizar datos históricos, información actual, predicciones futuras y pronósticos para mejorar el proceso de toma de decisiones. A su vez, esto ayuda a los responsables de TI y de seguridad de la información a tener en cuenta los requisitos del GDPR [29].

IBM MaaS360 aprovecha el aprendizaje automático de IBM Watson a través de la herramienta Advisor. El núcleo de MaaS360 Advisor reside en un eficaz motor cognitivo que proporciona información contextual sobre alertas pertinentes relativas a amenazas de seguridad emergentes. Esta información de inteligencia procesable se basa en datos estructurados y no estructurados y es específica para el sector, el tamaño y el entorno móvil de la organización, incluido el tipo de dispositivos, plataformas y aplicaciones que se utilizan en ella. El Asesor ayuda a las organizaciones a encontrar las mejores prácticas para la productividad de los empleados, recomendaciones para optimizar los servicios de TI e información relativa a los posibles riesgos para la seguridad de la información.
MaaS360 Advisor incorpora un mecanismo de retroalimentación, modelos de aprendizaje y funciones de automatización para aumentar la productividad, mejorar la eficacia de las TI y mitigar los riesgos que puedan surgir con el tiempo. Además, proporciona recomendaciones para facilitar la notificación y la educación del usuario final, aportando el valor de los conocimientos a la organización [27].

4.9. IBM QRadar Advisor con Watson

IBM QRadar Advisor with Watson aplica las capacidades cognitivas de IBM Watson (es decir, inteligencia artificial) QRadar Security Platform, una plataforma diseñada para el análisis de la seguridad de la información, para revelar amenazas ocultas y automatizar el proceso de autenticación de amenazas. Advisor proporciona investigación de alertas priorizadas y datos correlacionados y con el fin de ayudar a los analistas a centrarse en análisis más impactantes y estratégicos y en la caza de amenazas [33]. El sistema examina automáticamente los indicadores de peligro, aplica sus capacidades cognitivas para obtener información crítica y, en última instancia, acelera el ciclo de reacción ante las amenazas a la seguridad. QRadar Advisor with Watson también utiliza las funciones de Watson for Cyber Security para investigar y responder a las amenazas a la seguridad de la información [38].

QRadar agrupa y prioriza todos los eventos relacionados bajo una única ofensa y proporciona a los analistas una visión completa del escenario de ataque potencialmente en evolución. El análisis de investigaciones cruzadas de QRadar vincula automáticamente las investigaciones a través de incidentes conectados con el fin de proporcionar un contexto completo sobre las alertas que mitigan la duplicación de esfuerzos y amplían la investigación más allá en relación con la alerta probable actual y el incidente. Además, Advisor con Watson proporciona una combinación de conocimientos cognitivos y minería de datos, que puede utilizarse para desvelar indicadores de compromiso (IOC) relacionados.

QRadar puede ilustrar gráficamente las relaciones dentro de una investigación para proporcionar visualización a los datos de investigación enriquecidos y explorar las conexiones con otros IOC, usuarios o investigaciones [33].
QRadar Advisor con Watson funciona mediante los siguientes pasos:

1. Cuando la plataforma QRadar Security Intelligence detecta una amenaza a la seguridad de la información, un analista de seguridad de la información puede transferirla a QRadar Advisor con Watson para una investigación más precisa. El Asesor inicia una exploración más amplia de las amenazas a la seguridad de la información extrayendo datos del software QRadar local. A continuación, el software utilizará Watson for Cyber Security para realizar un análisis más exhaustivo de la amenaza.

2. Watson for Cyber Security recopila datos de diversas fuentes, como sitios web, foros de seguridad de la información y boletines de noticias, en un formato legible por humanos. Al finalizar, el software busca información adicional relacionada con la seguridad de la información sobre archivos dañinos y direcciones IP sospechosas.

3. Por último, QRadar Advisor with Watson procesa la información que recibe de Watson for Cyber Security, buscando factores clave relacionados con las amenazas a la seguridad de la información.

Las principales características de IBM QRadar con Watson [30] son, entre otras, la investigación automatizada de amenazas y el uso de Inteligencia Artificial en la detección de riesgos de alto nivel.

La solución puede utilizarse para priorizar la lista de investigaciones con el fin de reconocer las investigaciones con mayor riesgo, ejecutar múltiples investigaciones al mismo tiempo y ordenar y filtrar los datos para revelar las áreas de interés. La función de ajuste proactivo del entorno proporciona una mayor seguridad para determinar la necesidad de realizar ajustes adicionales del entorno. La realización de análisis de investigaciones cruzadas para mitigar la duplicación de esfuerzos vincula automáticamente las investigaciones a través de incidentes conectados y mitiga la duplicación de esfuerzos y amplía aún más la investigación. La solución proporciona medios para aplicar alineaciones de ataque a la cadena ATT&CK de MITRE y utilizar el nivel de confianza para cada progresión de ataque con el fin de validar la amenaza, visualizar la ocurrencia del ataque, la progresión del ataque y las posibles tácticas a utilizar. Además, el bucle de aprendizaje del analista para un proceso de escalada más decisivo puede utilizarse para analizar el entorno local con el fin de obtener recomendaciones relativas a las nuevas investigaciones que deben escalarse [38].

QRadar implementa la extracción local de datos de ataques a la seguridad de la información mediante la recopilación de datos de red relevantes. La aplicación investiga si una o algunas de las amenazas a la seguridad de la información han superado las defensas en capas, o si se han bloqueado. Aprovechando listas y ciertos indicadores adecuados, la inspección puede automatizarse. El razonamiento cognitivo puede identificar las amenazas más susceptibles y conectar las amenazas con eventos originales, como archivos maliciosos y direcciones IP sospechosas, para establecer conexiones entre ellas. QRadar utiliza automáticamente Watson for Cyber Security para explotar datos externos no estructurados, como páginas web, foros e información sobre amenazas. IBM QRadar también revela la criticidad de los eventos, como si se ha ejecutado o no un código malicioso, lo que permite una gestión más eficiente del tiempo, para examinar los riesgos de mayor prioridad [38].

4.10. IBM QRadar UBA

El análisis del comportamiento de los usuarios (UBA) ha sido objeto de gran atención en el ámbito de la seguridad de la información. Al tiempo que desarrollan la protección de una organización contra las amenazas externas, las organizaciones también deben protegerse contra las amenazas que puedan surgir desde el interior de una organización. Las amenazas pueden ser causadas, por ejemplo, por un empleado o un actor externo, capaz de causar daños en alguna capacidad debido a un comportamiento negligente. Estas amenazas son difíciles de identificar y pueden causar daños importantes a los bienes de una organización, debilitando sus activos intangibles y la confianza de los consumidores y dañando la marca o la reputación de la organización [42].

Los algoritmos de aprendizaje automático aumentan la aplicación UBA, y pueden aplicarse para comprender el comportamiento habitual de los usuarios finales, detectar desviaciones relevantes, identificar señales de alerta temprana de acciones irregulares de los usuarios, categorizar comportamientos de riesgo de los usuarios y proporcionar a los analistas de seguridad las herramientas necesarias para prevenir daños posiblemente costosos en el futuro [39]. Además, ML aumenta la aplicación UBA existente complementándola con funciones de visualización que ilustran el comportamiento aprendido (modelos), el comportamiento actual y las alertas. Los modelos pueden utilizar más de 4 semanas de datos históricos en QRadar para elaborar modelos predictivos y líneas de base de lo que es el comportamiento normal de un usuario [31].

Estos algoritmos se han incluido en la aplicación QRadar UBA de IBM para detectar comportamientos sospechosos y anómalos de los usuarios finales. Estos algoritmos de aprendizaje automático pueden identificar anomalías consecutivas y en series temporales. Para identificar las desviaciones, se supervisan las actividades de los usuarios. A partir de los resultados de la monitorización, se crean modelos operativos de comportamiento, utilización de recursos y redes. Estos modelos pueden utilizarse para determinar cuándo el usuario final empezará a actuar de forma anómala y activar la aplicación UBA, cuyas puntuaciones de riesgo del usuario se incrementan bajo demanda [42].

Al monitorizar la actividad del usuario final del sistema de información de cada organización, la herramienta puede identificar los roles que los usuarios tienen en la organización. Esto implica que los usuarios pueden ser asignados a grupos de iguales basados en roles, los usuarios pueden ser asignados a grupos de iguales basados en roles. También se pueden identificar comportamientos únicos que se desvíen de estos roles. Este comportamiento puede ser un indicador precoz de intenciones dañinas. Los algoritmos de la herramienta funcionan de forma independiente y supervisan la actividad de los usuarios desde diversos puntos de vista, de modo que el número de falsos positivos puede disminuir [42].

La aplicación UBA se ejecuta junto con el sistema QRadar, recopilando datos de los usuarios de la red de la organización. La interfaz gráfica de usuario de la aplicación UBA presenta datos del contenedor Docker (con una base de datos SQLite). Los datos recopilables incluyen alias de usuario, últimas puntuaciones de riesgo, puntos del sistema, alertas y tendencias. La interfaz de usuario también presenta información del sistema QRadar. Los datos proporcionados por el sistema QRadar son información, estado y fuentes relacionadas con el ataque. Además, la base de datos ARIEL del sistema QRadar proporciona datos genéricos y registros de la actividad de los usuarios, por ejemplo. Estos últimos corresponden a actividades realizadas con alias. La aplicación UBA envía información al sistema QRadar sobre los ataques en curso para una investigación más detallada.

Utilizando un conjunto de reglas predefinidas, la aplicación busca problemas que podrían causar a los usuarios finales un «evento de detección», que la aplicación UBA registraría a continuación. Las políticas de la aplicación exigen que los eventos hayan superado las pruebas de nombre de usuario, entre otras. En la siguiente fase, UBA lee los valores senseValue e ID de usuario del «sense event» y, a continuación, aumenta la puntuación de riesgo del usuario en senseValue. Cuando la puntuación de riesgo del usuario supera el umbral establecido en la configuración de UBAapplication, la aplicación envía un evento que activa la regla «UBA: Crear infracción» en la aplicación UBA, creando una infracción de la política para el usuario especificado.

Conclusión

El estudio se realizó utilizando un principio de clasificación (taxonomía) para clasificar las 12 áreas más cruciales de la ciberseguridad presentadas en este estudio. Al realizar el estudio, se recopiló información sobre 10 soluciones de seguridad que utilizan inteligencia artificial, y otras áreas cruciales clasificadas se dejaron para estudios posteriores. Estas soluciones seleccionadas se dividieron en las siguientes áreas: seguridad de puntos finales, seguridad de aplicaciones, seguridad IoT, seguridad web, operaciones de seguridad y respuesta a incidentes, Inteligencia de amenazas, seguridad móvil, seguridad en la nube, seguridad de redes y seguridad humana. Las soluciones estudiadas cubren ampliamente las amenazas a la ciberseguridad.

En la actualidad, las organizaciones disponen de un número cada vez mayor de soluciones y herramientas de ciberseguridad basadas en IA. En un escenario relativamente convencional, un adversario podría aprovecharse de soluciones organizativas aisladas que han sido comprometidas, pero que tienen un impacto en todo el sistema TIC de la organización. Uno de los principales retos es la fragmentación de soluciones y herramientas, así como los problemas de implantación y mantenimiento de nuevos sistemas, que causan dificultades de gestión y aumentan la complejidad de todo el sistema. La complejidad de los sistemas requiere el desarrollo de sistemas integrados que identifiquen tanto las amenazas externas como las internas, y que dispongan de sistemas de ciberseguridad completos e incorporados. Las soluciones de sistemas integrados y holísticos proporcionan la visibilidad necesaria para todos los niveles del sistema de TIC, lo que significa que la identificación y prevención de ciberataques puede aplicarse como un todo y no como procedimientos individuales. Dentro de un sistema de seguridad integrado, se crea una sólida protección de la seguridad de la información de la red, la gestión y la seguridad de los terminales, la supervisión activa de los flujos de datos, la creación de capacidad de detección y la prevención de los vectores de ataque.

El sistema requiere la capacidad de comprender el campo siempre cambiante de los ataques y los nuevos vectores de ataque. El sistema en desarrollo debe incluir soluciones analíticas inteligentes dentro de toda la infraestructura informática de la organización. El sistema debe ser capaz de percibir tanto los procesos internos de la organización como los externos. La infraestructura de TI debe contener las capacidades de seguridad de la información necesarias. El sistema debe detectar y reaccionar rápidamente ante los síntomas de un ataque a la red, como un inicio de sesión anómalo en un servidor que contenga datos valiosos o un uso sospechoso de los servicios en la nube. Se necesitan formas novedosas de detectar amenazas, ya que una organización puede enfrentarse hasta a 200.000 eventos de seguridad de la información al día. Investigar todos los sucesos sospechosos recurriendo a especialistas en seguridad de la información es caro y lleva mucho tiempo.

La inteligencia artificial proporciona medios significativos para realizar análisis y observaciones en fases tempranas y detectar anomalías. La ventaja de utilizar tecnologías basadas en inteligencia artificial es que permiten hacer frente a nuevos ciberataques, que pueden eludir las defensas de seguridad tradicionales basadas en reglas, como cortafuegos y puertas de enlace basadas en firmas, o saltarse las defensas para acceder a cuentas y archivos compartidos. El entorno de las amenazas varía rápidamente y, cuando se identifica a un adversario, puede que ya se haya convertido en una amenaza inidentificable. Este tipo de situaciones ponen de relieve la necesidad de utilizar la inteligencia artificial para detectar amenazas nuevas e irreconocibles que no pueden detectarse utilizando soluciones de seguridad de la información tradicionales, posiblemente anticuadas, que no son capaces de responder a las sofisticadas amenazas actuales.

Una ciberseguridad inteligente puede utilizarse para formar una plataforma que proporcione un amplio ecosistema de soluciones integradas de seguridad de la información. La solución de plataforma permite una cooperación eficaz entre los especialistas en ciberseguridad y una solución basada en inteligencia artificial en la que el componente de inteligencia artificial actúa como asistente experto ejecutando las operaciones necesarias y, al mismo tiempo, produce información procesada como base para la toma de decisiones.

Referencias

1. Amazon: Amazon Macie FAQs. Amazon Web Services (AWS). Retrieved 17 October 2018. https://​aws.​amazon.​com/​macie/​faq (2018)
2. Amazon: Amazon Macie. Amazon Web Services (AWS). Retrieved 24 May 2021. https://​aws.​amazon.​com/​macie (2021)
3. APTA: Cybersecurity considerations for public transit. Report APTA SS-ECS-RP-001-14, American Public Transportation Association, Washington, DC. https://​www.​apta.​com/​wp-content/​uploads/​Standards_​Documents/​APTA-SS-ECS-RP-001-14-RP.​pdf (2014)
4. Arboleda, N.: Deep learning cybersecurity provider Deep Insinct launches Australian operations. Nextmedia Pty Ltd. https://​www.​crn.​com.​au/​news/​deep-learning-cybersecurity-provider-deep-instinct-launches-australian-operations-478594 (2017)
5. BlackBerry: AI-driven security for a mobile world. Whitepaper, BlackBerry. https://​www.​blackberry.​com/​content/​dam/​blackberry-com/​asset/​enterprise/​pdf/​direct/​wp-mobile-threat-defense.​pdf (2020)
6. Buczkowski, A.: What’s the difference between Artificial Intelligence, Machine Learning and Deep Learning? Geoawesomeness. http://​geoawesomeness.​com/​whats-difference-artificial-intelligence-machine-learning-deep-learning (2018)
7. Cambridge: Antigena email and Enterprise immune system designated march cyber catalysts 2020. Cambridge Network. Retrieved 2 July 2021 https://​www.​cambridgenetwork​.​co.​uk/​news/​antigena-email-and-enterprise-immune-system-designated-marsh-cyber-catalysts-2020 (2021)
8. ChannelPro: SparkCognition adds new AI-built cyber defence capabilities to major DeepArmor v2.0 release. ChannelPro Network. Retrieved 25 May 2021. https://​www.​channelpronetwor​k.​com/​news/​sparkcognition-adds-new-ai-built-cyber-defense-capabilities-major-deeparmor-v20-release (2021)
9. Conner-Simons, A.: System predicts 85 percent of cyber-attacks using input from human experts. Phys.org. https://​phys.​org/​news/​2016–04-percent-cyber-attacks-human-experts.​html (2016)
10. Cylance: Comparing CylancePROTECT with Cylance Smart Antivirus. BlackBerry Cylance. Retrieved 28 May 2021. https://​blackberry.​com/​content/​dam/​bbcomv4/​blackberry-com/​en/​products/​blackberry-protect-vs-blackberry-smart-antivirus/​CylancePROTECTvs​CylanceSmartAnti​virus.​pdf (2020)
11. Dale, R.: An introduction to natural language generation. European Summer School in Logic, Language and Information (ESSLLI) (1995)
12. Darktrace: Darktrace Enterprise: detects and classifies cyber-threats across your entire enterprise. Darktrace. Retrieved 17 October 2018. https://​www.​darktrace.​com/​en/​products/​ (2018)
13. Darktrace: Darktrace Antigena. Product overview, Darktrace. Retrieved 2 July 2021. https://​www.​darktrace.​com/​en/​resources/​ds-antigena.​pdf (2021)
14. Darktrace: Antigena Email: building immunity for your inbox. Product brief, Darktrace. Retrieved 5 July 2021. https://​www.​darktrace.​com/​en/​resources/​ds-cyber-ai-for-email.​pdf (2021)
15. Darktrace: Darktrace cyber AI analyst: autonomous investigations. White Paper, Darktrace. Retrieved 30 May 2021. https://​darktrace.​com/​en/​resources/​wp-cyber-ai-analyst.​pdf (2021)
16. Darktrace: Enterprise Immune System. Product overview, Darktrace. Retrieved 30 May 2021. https://​www.​darktrace.​com/​en/​resources/​ds-enterprise.​pdf (2021)
17. Darktrace: Darktrace AI: combining unsupervised and supervised machine learning. Technical White Paper, Darktrace. Retrieved 2 July 2021. https://​www.​darktrace.​com/​en/​resources/​wp-machine-learning.​pdf (2021)
18. Darktrace: Darktrace for SaaS. Darktrace. Retrieved 5 July 2021. https://​www.​darktrace.​com/​en/​saas (2021)
19. DeepInstinct: Malware classification using deep learning. Whitepaper, Deep Instinct. https://​bit.​ly/​2UxwAiw (2020)
20. DeepInstinct: Deep Instinct security buyer’s guide: Transforming security: prevention first. Deep Instinct. Retrieved 7 July 2021. https://​www.​ciosummits.​com/​Deep_​Instinct_​-_​Security_​Buyers_​Guide.​pdf (2021)
21. DeepInstinct: Tier-1 technology software & hardware provider chose Deep Instinct’s Deep Learning cybersecurity solution for threat prevention, operational efficacy and connection-less security. Deep Instinct. Retrieved 8 JuDly 2021. shorturl.at/rzBN3 (2021)
22. Delua, J.: Supervised vs. unsupervised learning: what’s the difference? IBM. https://​ibm.​co/​2TfUNJX (2021)
23. Estapé, N. E.: The differences between supervised and unsupervised machine learning. Bismart. Retrieved 22 May 2021. https://​blog.​bismart.​com/​en/​difference-between-machine-learning-deep-learning (2021)
24. Fein, D.: How Antigena Email caught a fearware attack that bypassed the gateway. Darktrace. https://​www.​darktrace.​com/​en/​blog/​how-antigena-email-caught-a-fearware-attack-that-bypassed-the-gateway (2021)
25. FinancesOnline: IBM MaaS360 review. FinancesOnline. Retrieved 22 October 2018. https://​reviews.​financesonline.​com/​p/​ibm-maas360 (2018)
26. GeeksforGeeks: Supervised and unsupervised learning. GeeksforGeeks. Retrieved 22 May 2021. https://​geeksforgeeks.​org/​supervised-unsupervised-learning (2021)
27. IBM: Mobility insights and analytics with IBM Watson. White Paper, IBM Security. https://​www.​ibm.​com/​downloads/​cas/​KNJN6JWO (2017)
28. IBM: IBM MaaS with Watson: a cognitive approach with unified endpoint management. IBM. Retrieved 9 July 2021. https://​www.​ibm.​com/​downloads/​cas/​YD73W7GA (2017)
29. IBM: IBM MaaS with Watson: preparing for GDPR Compliance with Endpoint and Mobile. Retrieved 8.11.2021. https://​ibm.​co/​3EQBedy (2018)
30. IBM: Key features. IBM QRadar Advisor with Watson. Retrieved 12 July 2021. https://​ibm.​com/​products/​cognitive-security-analytics/​details (2021)
31. IBM: QRadar user behavior analytics. IBM QRadar common. Retrieved 12 July 2021. https://​www.​ibm.​com/​docs/​en/​qradar-common?​topic=​app-qradar-user-behavior-analytics (2021)
32. IBM: IBM Security MaaS360 with Watson: a guide to how MaaS360 establishes effective device and end user security. IBM Security. Retrieved 9 July 2021. https://​www.​ibm.​com/​downloads/​cas/​XWL4B1AE (2021)
33. IBM: IBM Security QRadar: visibility, detection, investigation, and response. IBM Corporation. https://​www.​ibm.​com/​downloads/​cas/​OP62GKAR (2021)
34. Kannan, P.V.: Artificial intelligence: applications in healthcare. Asian Hospital & Healthcare Management. 19. https://​www.​asianhhm.​com/​technology-equipment/​artificial-intelligence (2009)
35. King, P.: Amazon Macie: new enhanced version with lower pricing available. TechGenix. https://​techgenix.​com/​amazon-macie-enhanced-version (2020)
36. LeCun, Y., Bengio, Y., Hinton, G.: Deep learning. Nature. 521(7553), 436–444 (2015)Crossref
37. Lehto, M.: Phenomena in the cyber world. In: Lehto, M., Neittaanmäki, P. (eds.) Cyber Security: Analytics, Technology and Automation, pp. 3–29. Springer, Berlin (2015)Crossref
38. MetroConnect: What can artificial intelligence do for security analysis? IBM QRadar Advisor with Watson. Retrieved 20 October 2018. https://​www.​metroconnect.​co.​th/​products/​ibm-software/​ibm-qradar (2018)
39. Midland: AI security SIEM QRadar machine learning user behavior analytics. Midland Information Systems. Retrieved 12 July 2021. https://​www.​midlandinfosys.​com/​ibm-power/​all-categories/​ai-security-siem-qradar-uba.​html (2021)
40. OrbData: IBM Maas360 with Watson. Org Cata. Retrieved 9 July 2021. https://​www.​orb-data.​com/​what-we-do/​software-products/​mobile-device-management (2021)
41. Palmer, T.: Vectra Cognito – automating security operations with AI. ESG Lab Review. Retrieved 8 November 2021. https://​bit.​ly/​3nZZ5k0 (2017)
42. Patel, M.: QRadar UBA app adds machine learning and peer group analyses to detect anomalies in user’s activities. Security Intelligence. https://​securityintellig​ence.​com/​qradar-uba-app-adds-machine-learning-and-peer-group-analyses-to-detect-anomalies-in-users-activities (2017)
43. Scott, S.: What is Amazon Macie? Cloud Academy. Retrieved 24 May 2021. https://​cloudacademy.​com/​course/​enforcing-compliance-security-controls-amazon-macie/​what-is-amazon-macie (2021)
44. Selden, H.: Deep Instinct: a new way to prevent malware, with deep learning. Tom’s Hardware. Retrieved 18 October 2018. https://​www.​tomshardware.​com/​news/​deep-instinct-deep-learning-malware-detection,31079.​html (2016)
45. SparkCognition: A cognitive approach to system protection. SparkCognition. Retrieved 18 October 2018. https://​www.​sparkcognition.​com/​wp-content/​uploads/​2021/​04/​deeparmor-a-cognitive-approach-to-system-protection.​pdf (2018)
46. SparkCognition: Next-generation endpoint protection built from AI. SparkCognition. Retrieved 25 May 2021. https://​www.​sparkcognition.​com/​deeparmor-small-business (2021)
47. StoneFly: Amazon Macie: artificial intelligence for efficient data security. StoneFly. https://​stonefly.​com/​blog/​amazon-macie-artificial-intelligence-efficient-data-security (2017)
48. Tsymbal, O.: 5 essential machine learning techniques for business applications. MobiDev. Retrieved 22 May 2021. https://​mobidev.​biz/​blog/​5-essential-machine-learning-techniques (2021)
49. Vectra: Vectra introduces Cognito Recall to deliver AI-assisted threat hunting and enable conclusive incident investigations. News release, Vectra AI. https://​bit.​ly/​3oQiWlW (2018)
50. Vectra: Cognito Stream: network metadata with an option. Vectra AI. https://​threatscape.​com/​wp-content/​uploads/​2019/​07/​Vectra-Cognito-Stream-Datasheet.​pdf (2019)
51. Vectra: Cognito Detect is the most powerful way to find and stop cyberattacks in real time. Data sheet, Vectra AI. https://​content.​vectra.​ai/​rs/​748-MCE-447/​images/​Datasheet_​CognitoDetect.​pdf (2020)
52. Vectra: Cognito Detect for Office 365. Data sheet, Vectra AI. https://​content.​vectra.​ai/​rs/​748-MCE-447/​images/​Datasheet_​CognitoDetecto36​5.​pdf (2020)
53. Vectra: Cognito Recall – security and privacy statement. Data sheet, Vectra AI. https://​content.​vectra.​ai/​rs/​748-MCE-447/​images/​Datasheet-Recall-SecurityPrivacy.​pdf (2020)
54. Vectra: The Cognito Threat Detection and Response platform. Data sheet, Vectra AI. Retrieved 26 May 2021. https://​content.​vectra.​ai/​rs/​748-MCE-447/​images/​Datasheet_​CognitoNDRPlatfo​rm.​pdf (2021)
55. Veeramachaneni, K., Arnaldo, I., Korrapati, V., Bassias, C., Li, K.: AI2: training a big data machine to defend. In: 2016 IEEE 2nd International Conference on Big Data Security on Cloud (BigDataSecurity), IEEE International Conference on High Performance and Smart Computing (HPSC), and IEEE International Conference on Intelligent Data and Security (IDS), pp. 49–54. IEEE (2016)Crossref
56. Walker, T.: Launch – Hello Amazon Macie: automatically discover, classify, and secure content at scale. Amazon Web Services (AWS). https://​aws.​amazon.​com/​blogs/​aws/​launch-amazon-macie-securing-your-s3-buckets (2017)

 

 

Related Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *