En el primer blog de esta serie, desciframos algunas de las palabras de moda IA/ML y explicamos por qué Vectra adopta con orgullo el término "IA" para lo que hacemos. Ahora, vamos a examinar más de cerca las metodologías para aplicar la IA a la detección y respuesta ante amenazas. En concreto, contrastaremos el enfoque basado en la seguridad del que Vectra ha sido pionera con el enfoque basado en las matemáticas que utilizan otros proveedores. También puede encontrar una explicación en profundidad de cómo Vectra utiliza la ciencia de datos y la IA para detectar y detener a los atacantes en el libro blanco La IA detrás de Vectra AI.
Detección basada en la seguridad frente a la basada en las matemáticas
Para aplicar la IA/ML a la detección de amenazas se utilizan dos enfoques principales: el dirigido por la seguridad y el dirigido por las matemáticas.
Un enfoque matemático detecta anomalías básicas
El enfoque basado en las matemáticas comienza con científicos de datos que generan estadísticas básicas y novedades sobre el entorno. ¿Cómo de común o raro es un destino, dominio o IP? ¿Cuál es el recuento típico de conexiones SMB por hora para esta IP? ¿Se ha conectado alguna vez esta cuenta desde esta IP? A continuación, los investigadores de seguridad utilizan estas estadísticas para crear cientos de reglas, en realidad firmas, que tienen un componente básico de anomalía.
Por ejemplo, el corazón de un modelo de túnel de mando y control (C2) buscará múltiples conexiones en un periodo de tiempo determinado a un destino que sea a la vez nuevo para esta red y raro (no muchos sistemas se comunican con él). Es probable que haya decenas de estos modelos que varíen los índices de conexión, la rareza y la novedad para intentar equilibrar la cobertura y el ruido.
A primera vista, parece un enfoque razonable. Claro, el resultado es un mosaico de un MONTÓN de modelos estrechos que el equipo debe entender, mantener y afinar. Y puede ser derrotado por un atacante que contacte con el destino y luego espere un par de días, pero ¿con qué frecuencia ocurrirá eso? Además, puede ser derrotado por técnicas comunes como el domain fronting, que eludirá la detección saltándose el requisito de rareza. Estas limitaciones son preocupantes, pero tal vez podamos convencernos de que es una solución aceptable.
El verdadero problema, sin embargo, es que incluso con tantas restricciones, estos modelos siguen siendo muy ruidosos. Hay que añadir más filtros. Los filtros equivalen a puntos ciegos. Los modelos reales de proveedores conocidos en este ámbito filtran todos los destinos que están en nubes comunes Y todas las fuentes que son móviles/tabletas, infraestructuras (routers, cortafuegos, etc.) y IoT como teléfonos IP. Estos enormes puntos ciegos deben añadirse solo para reducir el ruido lo suficiente como para que el sistema sea viable.
No nos parece suficiente.
Un enfoque basado en la seguridad descubre los métodos de los atacantes
El enfoque basado en la seguridad da la vuelta a las cosas. En lugar de partir de estadísticas, empieza por comprender el problema que hay que resolver. Esto significa que los investigadores de seguridad definen los métodos de ataque importantes que debemos ser capaces de detectar, en consonancia con marcos como MITRE ATT&CK y D3FEND. Es importante señalar que esto NO se centra en herramientas o exploits específicos, sino en los métodos subyacentes en juego. Los métodos cambian muy lentamente con el tiempo, lo que los convierte en anclas estables para la detección.
Una vez que el método de ataque está claramente definido, la investigación de seguridad y la ciencia de datos se asocian estrechamente para construir un modelo de detección preciso: evaluar los datos, elegir el enfoque de ML adecuado para los datos y el problema, construir, probar y refinar de forma continua para garantizar la precisión.
En la metodología basada en la seguridad, el problema del túnel C2 se resuelve con una red neuronal recurrente (LSTM) entrenada con decenas de miles de muestras de tráfico de túneles de muchas herramientas diferentes que hacen muchas cosas diferentes, junto con un gran corpus de tráfico que no es de túneles. La red neuronal LSTM aprende realmente (esto es aprendizaje profundo) qué es un túnel en cualquier red, utilizando cualquier herramienta. Funciona incluso con tráfico cifrado y no tiene puntos ciegos basados ni en el destino ni en el tipo de sistema de origen.
En contra de la intuición, el uso de una metodología orientada a la seguridad libera al equipo de ciencia de datos para dar rienda suelta a la artillería pesada: enfoques especializados para problemas especializados. Como el uso de una red neuronal recurrente para la detección de túneles. El enfoque matemático, por el contrario, obliga a los científicos de datos a recurrir al mínimo común denominador, utilizando anomalías estadísticas simples y genéricas que la parte de seguridad puede conectar a un montón de modelos diferentes sin una comprensión profunda de lo que hacen.
El modelo basado en la seguridad requiere más experiencia en todos los ámbitos, datos especiales, más tiempo y una plataforma que tenga la flexibilidad necesaria para ejecutar este tipo de modelo a gran velocidad. Por eso muchos proveedores lo evitan a pesar de que ofrece mejores resultados en materia de seguridad.
Por qué es importante
La utilidad de la detección de amenazas se reduce a la velocidad. Esto no sólo significa que el sistema debe funcionar casi en tiempo real (aunque esto es importante), sino también que el sistema tiene que detectar cosas útiles sin enterrar al operador en el ruido.
En esencia, el enfoque basado en la seguridad proporciona una mejor cobertura de lo que importa (reduce los ángulos muertos) y, al mismo tiempo, genera muchas menos alertas que los equipos tienen que cribar: una reducción del 85% según un cliente que recientemente cambió de un conocido proveedor basado en las matemáticas a Vectra.
En nuestro próximo blog, analizaremos la diferencia de cobertura entre la seguridad dirigida y la matemática dirigida en el problema de seguridad más importante hoy en día: el ransomware (o más exactamente, ransomOps).
Obtenga más información sobre el enfoque basado en la seguridad de Vectra y cómo se compara con el de nuestros competidores.
Y no deje de leer el libro blanco gratuito, La IA detrás de Vectra AI, para ver cómo la ciencia de datos y la IA pueden dar a los defensores una ventaja sobre los ciberatacantes.