La IA es genial, pero aún se necesitan humanos para hacer cumplir la ciberseguridad

Cuando se trata de proteger las computadoras y los sistemas de información de los ataques cibernéticos, la inteligencia artificial y el aprendizaje automático pueden ayudar, pero no son una cura para un problema creciente.

A pesar del entusiasmo actual por la IA y su creciente capacidad para superar a los humanos en numerosos frentes, no es una fórmula mágica para reforzar la ciberseguridad, dice Randy Watkins, director de tecnología de Critical Start, Inc.

La IA se destaca en la gestión de grandes cantidades de datos, incluidas las alertas sobre posibles infracciones de seguridad. El problema radica en cómo interpreta esa información.

Las alertas se abordan en el orden en que llegan. Luego, se les da prioridad y se les evalúa para determinar el nivel apropiado de amenaza. Los analistas humanos, con un profundo conocimiento y experiencia del negocio, son buenos para ubicar cada alerta en su contexto adecuado. Máquinas, no tanto. Un sistema impulsado por inteligencia artificial puede detectar actividad anómala del usuario, pero es menos eficaz para determinar si el evento implica intenciones maliciosas.

"No soy un detractor de todo lo relacionado con la IA", dice Watkins, "pero la IA y el aprendizaje automático no tienen la capacidad de aplicar una gran cantidad de razones a lo que están haciendo".

Las máquinas no son especialmente buenas para minimizar los falsos positivos. Tomemos como ejemplo PowerShell de Microsoft, un marco popular para la automatización de tareas. Una máquina no puede determinar con precisión si un usuario determinado de esa herramienta debería ejecutar un comando en un momento determinado. La anomalía puede o no ser el resultado de un ataque malintencionado.

El término "aprendizaje automático" implica que el sistema mejora con la experiencia, pero Watkins dice que la capacidad es limitada. Entrenar al algoritmo para que responda de la manera adecuada requiere alimentar una gran cantidad de ejemplos anteriores, tanto buenos como malos. Y todavía no resuelve el problema de los falsos negativos:ataques reales que el sistema falla. "Debe poder eliminar los valores atípicos que desviarán sus datos", dice Watkins.

Averiguar si un evento es malicioso o no no siempre equivale a una respuesta de sí o no. Por un lado, las empresas deben determinar qué tan sensible quieren que sea el sistema. ¿Debería dar la alarma por el 100% de los eventos aparentemente anómalos? ¿Qué tal el 80%? Demasiado, y estará inundado de alertas y posibles cierres del sistema. Demasiado poco, y es probable que las infracciones pasen desapercibidas.

“Cuando introduce más variables, necesita conjuntos de datos adicionales, más contexto sobre el tema y el comportamiento [del sistema]”, señala Watkins. "Una vez que comienzas a presentar esas preguntas, la máquina se desmorona".

La detección eficaz de ciberataques depende de la puntuación de riesgo acumulativo, algo que los humanos hacemos bien. "Cada vez que miramos un evento, decidimos si es sospechoso", dice Watkins. “Pero también puede aplicar razones y conocimientos previos sobre seguridad que los algoritmos no tienen.

“Una máquina puede rastrear enormes cantidades de datos rápidamente”, continúa. “Pero déle un concepto abstracto como privilegio mínimo y aplíquelo al conjunto de alertas:¿reconocerá una escalada de privilegios? Hay mucha actividad benigna que parece maliciosa ".

No hay duda de que el aprendizaje automático evolucionará, incluso cuando los ladrones cibernéticos encuentren nuevas formas de evitar la detección. Microsoft ha avanzado hacia la mejora de la sofisticación de los sistemas de detección automatizados, al igual que Palo Alto Networks, líder mundial en ciberseguridad. "Pero al final del día", dice Watkins, "todavía necesita un ser humano que diga, 'Sí, desconecte este controlador de dominio'". Las empresas se esfuerzan constantemente por minimizar el costo del tiempo de inactividad del sistema causado por alertas erróneas.

Dicho esto, no hay suficientes expertos humanos para satisfacer la necesidad de ciberseguridad en todos los sectores. "Definitivamente hay una falta de talento en la industria", dice Watkins. De ahí el giro hacia el apoyo externo, en forma de detección y respuesta gestionadas.

La escasez de talento no es nueva. “Ha existido desde que existe la seguridad”, dice Watkins. Solo en los últimos 10 años las empresas y universidades han comenzado a tomar conciencia de la necesidad de una mejor formación y educación de los futuros expertos en ciberseguridad.

Tanto los humanos como las máquinas tienen mucho camino por recorrer si quieren colaborar para proteger los sistemas vitales contra la amenaza cada vez mayor de los ataques cibernéticos. “Empezamos de cero cuando necesitábamos tener 60”, dice Watkins. "Ahora tenemos que estar en 90 y estamos en 60".