Este blog fue publicado originalmente en ISACA Now.
En muchas esferas del empleo, la aplicación de la tecnología de inteligencia artificial (IA) está suscitando un temor creciente. Kevin Maney, de Newsweek , resumió vívidamente la transformación pendiente del empleo y las preocupaciones que suscita en su reciente artículo "Cómo la inteligencia artificial y los robots transformarán radicalmente la economía."
En la comunidad de la seguridad de la información (InfoSec), la IA suele considerarse la salvadora: una aplicación de la tecnología que permitirá a las empresas identificar y mitigar las amenazas más rápidamente, sin tener que añadir más humanos. El factor humano suele considerarse un inhibidor de la actividad empresarial, ya que los conocimientos y la experiencia necesarios son costosos y difíciles de obtener.
En consecuencia, en los últimos años, muchos proveedores han rediseñado y rebautizado sus productos como productos que emplean IA, tanto como respuesta a la creciente frustración de sus clientes ante el hecho de que la lucha contra cada nueva amenaza requiere personal adicional para ocuparse de las herramientas y los productos que se les venden, como para diferenciarse de los enfoques "heredados" para hacer frente a las amenazas que persisten a pesar de dos décadas de innovación en la detección.
El cambio de marca, el remarketing y la inclusión de varias palabras de moda en la ciencia de datos -inteligencia artificial, aprendizaje automático, macrodatos, lagos de datos, aprendizaje no supervisado- en los argumentos de venta de los productos y el material colateral han hecho que parezca que la automatización de la seguridad es lo mismo que la seguridad de la IA.
Todavía estamos en los primeros días de la revolución de la IA. Los proveedores de productos y servicios están avanzando en sus motores de IA v1.0 y se centran principalmente en resolver dos retos: examinar una cantidad cada vez mayor de datos sobre amenazas en busca de elementos útiles y reproducir las funciones más comunes y básicas de los analistas de seguridad humanos.
Ninguno de los dos retos es especialmente exigente para una plataforma de IA. Los enfoques estadísticos para la detección de anomalías, la agrupación de datos y los procesos de etiquetado cumplen todos los criterios para el primer reto de seguridad, mientras que los enfoques de "sistema experto" de los años 70 y 80 suelen ser adecuados para la mayor parte del segundo reto. Lo que ha cambiado es el volumen de datos en el que deben basarse las decisiones y los avances en los sistemas de aprendizaje.
Lo que está confundiendo a muchos compradores de tecnología de seguridad en estos momentos es la inclusión de palabras de moda sobre IA en torno a productos y servicios que, en esencia, ofrecen "automatización".
Muchas de las propuestas de valor fuertemente comercializadas tienen que ver con la automatización de muchas de las tareas manuales que un analista de amenazas o de respuesta a incidentes llevaría a cabo en sus actividades cotidianas, como la criba de alertas críticas, su correlación con otras alertas menores y entradas de registro, la extracción de capturas de paquetes (PCAP) y registros de actividad del host, la superposición de inteligencia de amenazas externas y fuentes de datos, y la presentación de un paquete de análisis para que un analista humano determine las siguientes acciones. Todas estas acciones vinculadas pueden, por supuesto, automatizarse fácilmente utilizando lenguajes de scripting si la organización así lo desea.
La automatización de la gestión de eventos de seguridad no requiere IA, al menos no el tipo o nivel de IA que prevemos que provocará una transformación económica y laboral mundial.
La IA v1.0 que se emplea en muchos de los productos actuales puede considerarse más bien como robots de cadena de montaje que replican tareas mecánicas repetidas, sin requerir necesariamente ninguna "inteligencia" como tal. Evidentemente, esta automatización aporta eficacia y coherencia a la investigación y respuesta ante incidentes, pero por sí sola aún no reduce la necesidad de las organizaciones de emplear analistas humanos cualificados.
A medida que las organizaciones se sientan más cómodas compartiendo y agrupando datos de forma colectiva, la comunidad de seguridad puede anticipar el avance y la incorporación de mejores sistemas de aprendizaje, avanzando por una senda de IA v1.1 incremental en la que la automatización de procesos aprenda de forma eficaz las peculiaridades, acciones y decisiones comunes del entorno en el que opera. Un ejemplo sería la evaluación de un paquete analítico compilado automáticamente mediante la determinación de similitudes con paquetes generados y procesados previamente, la asignación de una prioridad y el enrutamiento al responsable humano correcto. Puede parecer un pequeño pero lógico proceso de automatización, pero requiere otro nivel y clase de matemáticas, e "inteligencia" para aprender y afinar un proceso experto de toma de decisiones.
En mi opinión, la IA de seguridad v2.0 reside en un motor de inteligencia que no sólo aprende dinámicamente mediante la observación de la clasificación repetida de las amenazas y sus acciones correspondientes, sino que es capaz de identificar correctamente comportamientos sospechosos que nunca ha visto antes, determinar el contexto de la situación e iniciar las acciones más adecuadas en nombre de la organización.
Eso podría incluir la capacidad no sólo de identificar que un nuevo host se ha añadido a la red y parece estar lanzando un escaneo de puertos contra el servidor de directorio activo, sino de predecir si la acción puede ser parte de una prueba de penetración (pentest) mediante la comprensión del proceso típico de entrega de pentest, los objetivos típicos de pentests anteriores y la cadencia regular o la programación de pentests dentro de la organización. El motor podría entonces llegar a una conclusión basada en pruebas, rastrear y alertar a los propietarios de la empresa de la actividad sospechosa y, a la espera de confirmación, ajustar automáticamente las reglas de prevención de amenazas y los umbrales de alerta para aislar la actividad sospechosa y minimizar el daño potencial.
El éxito de la IA de seguridad radica en la determinación de acciones basadas en información incompleta y previamente no clasificada, momento en el que los puestos de analista de seguridad de "nivel uno", difíciles de retener, desaparecerán como lo han hecho en las últimas dos décadas tantos puestos de trabajo en la cadena de montaje de la industria automovilística.