Imagínese disponer de una herramienta de seguridad que piense como usted le enseñe a pensar, que actúe cuándo y cómo usted le haya enseñado a actuar. Se acabó adaptar tus hábitos de trabajo a reglas genéricas escritas por terceros y preguntarte cómo rellenar las lagunas de seguridad que las reglas no te indicaban.
El aprendizaje automático, piedra angular de Network Traffic Analytics (NTA), es la tecnología que actúa en su nombre para aumentar la visibilidad de la infraestructura, mejorar la detección de amenazas activas y simplificar la recuperación ante las amenazas que realmente importan.
Estamos tan acostumbrados a la orientación determinista de las reglas que a menudo pasamos por alto sus limitaciones. Piense en las reglas como una cascada de declaraciones IF...THEN...ELSE que un analista crea para seguir un camino conocido. Cualquier cambio en las reglas, por ejemplo a partir de la inclusión de nuevos datos operativos o de la codificación de una nueva lógica de detección de amenazas, conlleva cargas administrativas no deseadas.
Y lo que es peor, la desconexión entre las reglas codificadas, los procesos informáticos en evolución y las nuevas amenazas cada vez más creativas obliga a las operaciones de seguridad a lidiar con niveles elevados de falsos positivos y perfiles de seguridad inexactos. Con reglas que disparan alertas a diestro y siniestro, es una locura pensar que las operaciones de seguridad pueden encontrar y resolver los problemas más críticos.
El aprendizaje automático, tanto supervisado como no supervisado, permite a los analistas humanos automatizar las partes manuales y mundanas de su trabajo, como la detección, clasificación, correlación y puntuación de amenazas. Sin embargo, no puede ser eficaz sin un ser humano que trabaje con él. Los analistas humanos aplican conocimientos contextuales y pensamiento crítico para saber si una detección es un verdadero problema gracias a sus percepciones. Su trabajo sería mucho más fácil si las herramientas de seguridad le hicieran caso.
Los científicos de datos que construyen algoritmos de aprendizaje automático empiezan con los resultados de analistas humanos que determinan "esto es una amenaza, esto está bien, esto merece más estudio". A continuación, el científico de datos trabaja hacia atrás a partir de sus resultados dados para descubrir relaciones en los datos, de modo que un algoritmo pueda automatizar su enfoque de caza de amenazas para recopilar datos, detectar amenazas y remediar el problema.
El aprendizaje automático automatiza lo que usted, el analista de seguridad, le ha enseñado, permitiéndole pasar a resolver otros problemas. Siempre tienes el control, corrigiendo y guiando a la herramienta de aprendizaje automático para que sea más eficaz en su trabajo.
NTA aplica el aprendizaje automático a los datos de red para ofrecerle una visibilidad, detección y corrección avanzadas. Le ayuda a ver exactamente lo que ocurre en su entorno, qué detecciones requieren atención inmediata y qué medidas correctoras son las más aceptables para los usuarios. No es magia; usted enseña a la herramienta cómo ve la seguridad en cada paso del camino. Por ejemplo, las reglas estáticas pueden activar alertas cuando observan un aumento de la actividad de balizamiento y DNS seguido de grandes intercambios de datos a nuevos servidores en un nuevo dominio cloud . Usted sabe que estas alertas son falsos positivos porque su empresa está desplegando nuevas cargas de trabajo de aplicaciones en un proveedor de cloud secundario.
O tal vez sepa que se trata de un ataque, pero esto es algo que sólo usted puede saber. ¿Quiere perder tiempo reescribiendo y depurando reglas o prefiere simplemente decirle a su herramienta NTA que "aprenda esto ahora"? El aprendizaje automático le ofrece la oportunidad de supervisar continuamente su entorno operativo. Pone la tecnología a trabajar para llamar su atención sobre acciones sospechosas sin la sobrecarga de administrar reglas.
Por ejemplo, no querrá cargar a los usuarios con privilegios con normas rígidas que les impidan realizar su trabajo. Sin embargo, puede pedir a NTA que sepa qué usuarios con privilegios acceden a qué servidores, cuándo, desde dónde y qué protocolos se utilizan. Además, puede orientar a su herramienta de seguridad sobre cómo actuar cuando se detecten desviaciones. Tal vez quiera que el usuario confirme que desea continuar, tal vez quiera que se habilite el registro granular de actividad, tal vez el nuevo protocolo no sea seguro y deba bloquearse para acciones administrativas.
El aprendizaje automático recopila datos operativos en su entorno para ayudarle a comprender cuándo surgen los problemas y le ayuda a tomar decisiones rápidas sobre qué hacer al respecto. Y lo hace sin exigirle que corrija continuamente las reglas o que las defina de forma tan amplia que solo proporcionen una falsa seguridad. Algunos temen que el aprendizaje automático, la inteligencia artificial y el aprendizaje profundo estén destinados a sustituir a los analistas de seguridad humanos. Nuestra experiencia demuestra que el aprendizaje automático no ha hecho más que potenciar a los analistas de seguridad.
Han aumentado la productividad de los analistas de seguridad humana y la satisfacción en el trabajo, del mismo modo que nuestras vidas han mejorado con aplicaciones que aprenden lo que nos gusta buscar, enviar mensajes y cómo nos gusta viajar. Observamos tendencias similares que nos siguen en nuestra vida profesional. Como analista de seguridad, descubrirá un mundo de nuevas posibilidades, ya que el aprendizaje automático le brinda una oportunidad única para demostrar su creatividad, capacidad de decisión y habilidad para sacar el máximo partido a la tecnología.