Los proveedores de seguridad utilizan los términos "inteligencia artificial" (IA) y "aprendizaje automático" (AM) tan a la ligera que para muchos profesionales han perdido su significado. Peor aún, algunos prometen más de la cuenta hasta el punto de desacreditar el sector en general. (Me viene a la mente un proveedor al que le gusta presumir de una detección y respuesta totalmente autónomas).
A pesar de la exageración, la verdad sigue siendo simple: la IA es una herramienta increíblemente potente que ayuda a los equipos de seguridad a detectar y detener los ataques modernos en una fase temprana. Esto incluye la capacidad de detener los ataques de ransomware y ransomOps que están en boca de todos hoy en día.
En esta serie de blogs, iremos más allá de las palabras de moda para explicar los fundamentos, las metodologías y, lo que es más importante, los resultados que ofrecen la detección y la respuesta a las amenazas impulsadas por la IA.
Más allá de las palabras de moda
"La IA es una BS, pero el ML es genial". Este sentimiento no es raro. Pero, ¿qué significan estos términos y por qué y en qué se diferencian?
"Inteligencia artificial" se acuñó en los años 50 para describir cualquier sistema que pueda aproximarse al pensamiento humano. La IA general se refiere a un agente inteligente capaz de aprender cualquier tarea intelectual que pueda realizar un ser humano. Piense en HAL 9000 de "2001: Una odisea del espacio". Muchos saltan directamente a esta definición, pero hoy en día permanece casi exclusivamente en los laboratorios de investigación.
Prácticamente todas las aplicaciones comerciales son IA aplicada, que resuelve un problema específico, por ejemplo, traducir un idioma, conducir un coche, reconocer un rostro o detectar una amenaza para la seguridad. Toda la IA de seguridad es IA aplicada.
Los sistemas de IA pueden construirse utilizando diversas técnicas. Algunos de los primeros, llamados sistemas expertos, eran básicamente instrucciones CASE gigantes. Hoy en día, el enfoque más común para crear IA es el aprendizaje automático: algoritmos que analizan un montón de datos y aprenden a hacer predicciones sobre los nuevos datos que van llegando.
Existen muchísimos algoritmos y técnicas de ML diferentes. Ninguna técnica es intrínsecamente mejor que otra: todo depende del problema que se esté resolviendo y de los datos disponibles. De hecho, utilizamos más de 50 técnicas de ML diferentes en nuestros productos, cada una de ellas elegida para optimizar el resultado de seguridad para nuestros usuarios.
Las técnicas de aprendizaje supervisado funcionan con datos etiquetados. Entrénala con un grupo de imágenes etiquetadas como "gatos" y "perros" y podrá determinar si una imagen que aún no ha visto es de un gato o de un perro.
Las técnicas de aprendizaje no supervisado son útiles y necesarias cuando no se dispone de datos etiquetados. Las técnicas no supervisadas encuentran estructuras en los datos y agrupan cosas similares aunque no puedan etiquetarlas. Entrénalo con un montón de fotos de animales y agrupará a los leones, las cebras y los osos, aunque no sea capaz de decir qué es cada uno de esos grupos.
Entonces... ¿por qué Vectra utiliza "IA"?
Toda la IA no es ML, y todo el ML no es IA. Entonces, ¿dónde está el límite? En un nivel, la distinción es discutible, pero lo que realmente importa son los resultados de seguridad. Sin embargo, ya que nos hemos inclinado por el uso de la IA, lo explicaremos.
Es muy sencillo: nuestro sistema incorpora la experiencia de nuestros investigadores y analistas de seguridad. El sistema "piensa" como ellos. Este es el núcleo de nuestra metodología basada en la seguridad. Cada modelo de detección comienza con un investigador de seguridad que define el planteamiento del problema, es decir, el método de ataque que debemos ser capaces de detectar. A continuación, los modelos se diseñan específicamente desde cero, desde los datos hasta el algoritmo y los resultados, con el fin de encontrar con precisión el método de ataque. Cuando creamos algoritmos de priorización, se diseñan para replicar las decisiones de prioridad que toma nuestro equipo de analistas al revisar los incidentes.
No todos los sistemas adoptan este enfoque. De hecho, no conocemos ningún otro proveedor que lo haga así. Es caro y difícil, pero creemos firmemente que es la mejor manera de ofrecer los resultados que nuestros clientes merecen. Y lo llamamos con orgullo "IA".
En nuestro próximo blog, profundizaremos en la metodología de detección para contrastar el exclusivo enfoque de seguridad de Vectracon el enfoque matemático de anomalías básicas que utilizan otros proveedores.
Mientras tanto, puede ver cómo lo hacemos con la plataforma Vectra AI .