Avances recientes: nuevos casos de uso para la IA generativa en análisis de seguridad
Con el lanzamiento de ChatGPT, estamos viendo un mayor entusiasmo en torno a la aplicación de tecnologías de IA para permitir resultados seguros.
En 2019, el equipo de seguridad y confianza de IDC escribió sobre el potencial de la inteligencia artificial (IA) en la ciberseguridad. En ese momento, el enfoque era usar IA para crear plataformas de análisis que capturaran y replicaran las tácticas, técnicas y procedimientos de los mejores profesionales de seguridad y democratizaran el proceso no estructurado de detección y remediación de amenazas. Usando grandes volúmenes de datos estructurados y no estructurados, análisis de contenido, descubrimiento y análisis de información, así como muchas otras tecnologías de infraestructura, las plataformas de seguridad habilitadas por IA utilizan un procesamiento de datos contextuales profundos para responder preguntas, proporcionar recomendaciones y direcciones, y formular hipótesis y respuestas. con base en la evidencia disponible.
El objetivo en ese momento era, y sigue siendo, aumentar las capacidades o mejorar la eficiencia de los activos de ciberseguridad más preciados y escasos de una organización: los profesionales de ciberseguridad. El enfoque del desarrollo generalmente comienza con lo mundano y correctivo y se gradúa gradualmente hacia casos de uso cada vez más complejos. Básicamente, el aprendizaje automático permite a los profesionales de la ciberseguridad encontrar la «aguja» maliciosa en un montón de datos.
Casos de uso para AI/ML hoy
Con el lanzamiento de ChatGPT en noviembre de 2022, estamos viendo un mayor entusiasmo por todo lo relacionado con la IA y la aplicación de tecnologías de IA para permitir resultados seguros. El mayor interés está en la IA generativa, pero la IA en seguridad no es nueva. El aprendizaje automático, una forma de IA que se ha utilizado en seguridad durante más de una década, se utilizó para generar firmas de malware antes de que las protecciones algorítmicas se pusieran de moda.
Un uso prolongado del aprendizaje automático ha sido el análisis de comportamiento de usuarios y entidades (UEBA) para identificar comportamientos anómalos. Esto incluye la configuración, las aplicaciones, los flujos de datos, los inicios de sesión, las direcciones IP a las que se accede y los flujos de red de los dispositivos del entorno. Por ejemplo, ¿el dispositivo suele llamar a otro dispositivo? De lo contrario, se puede generar una alerta para que un analista analice el comportamiento inusual.
Muchos proveedores incluyen UEBA como parte de su gestión de eventos e información de seguridad (SIEM) con alertas sobre las anomalías. Por ejemplo, algunos SIEM usan modelos ML para detectar algoritmos generados por dominio (DGA) que se usan en ataques DNS.
Casos de uso para el mañana
Los proveedores prevén usar IA para las ingratas tareas de seguridad y salvar a los humanos de tareas repetitivas manuales definidas de manera limitada, para que puedan dedicarse más rápidamente a investigar problemas complejos que la máquina no entiende. AI no reconocerá lo que no ha sido entrenado para ver, por lo que todas las nuevas tácticas y técnicas requerirán la participación humana.
La IA generativa puede traducir fácilmente de un idioma a otro (lenguaje hablado o de máquina), lo que incluye la traducción de consultas en lenguaje natural a los idiomas específicos del proveedor necesarios para realizar la búsqueda en otras herramientas. Hoy en día, los proveedores de SIEM a menudo usan reglas para correlacionar alertas con incidentes que presentan más información al analista en un solo lugar.
La IA estará entrenada para producir el contexto en torno a una alerta para que los analistas no tengan que dedicar tanto tiempo a las investigaciones, como verificar con un servicio externo que luego puede etiquetar qué dominios son maliciosos. AI manejará las investigaciones de manera más eficiente, así como también priorizará qué alertas deben manejarse primero.
Si la organización confía en ella, la IA puede sugerir o escribir libros de jugadas basados en las acciones regulares realizadas por los analistas. Eventualmente, también se puede confiar en la IA para ejecutar los libros de jugadas. La IA generativa puede recomendar los próximos pasos utilizando chatbots para proporcionar respuestas sobre políticas o mejores prácticas. Un uso puede ser un analista de nivel superior que confirme las acciones recomendadas para los analistas de nivel inferior. Eventualmente, las organizaciones utilizarán sus propios datos de seguridad y capacidades de reconocimiento de patrones de amenazas para crear modelos predictivos de amenazas.
Otros usos de la IA generativa incluyen:
• Generación de informes a partir de datos de inteligencia de amenazas
• Sugerir y escribir reglas de detección, caza de amenazas y consultas para el SIEM
• Crear informes de gestión, auditoría y cumplimiento después de que se resuelva un incidente
• Malware de ingeniería inversa
• Escribir conectores que analicen los datos ingeridos correctamente para que puedan analizarse en sistemas de agregación de registros como SIEM
• Ayudar a los desarrolladores de software a escribir código, buscar vulnerabilidades y ofrecer soluciones sugeridas
Avanzando
El objetivo de la IA siempre ha sido mejorar la eficiencia del analista de seguridad en su trabajo de defensa de una organización contra los ciberadversarios. Sin embargo, el costo de los modelos y servicios de IA puede ser demasiado alto para algunas organizaciones. Confiar en la IA para guiar a los analistas e informar sobre eventos de seguridad solo despegará si los modelos son confiables.
Los datos utilizados para entrenar el modelo deben ser precisos o las decisiones impulsadas por IA no tendrán el efecto deseado. Los términos confabulación o alucinación se utilizan para describir cuando un modelo está equivocado porque los modelos están entrenados para dar alguna respuesta en lugar de decir no sé cuando no tiene respuesta. La industria necesita evitar el sesgo de IA que ocurre si el conjunto de entrenamiento elegido no es lo suficientemente diverso.
Los clientes y los proveedores de IA deben comprender los datos subyacentes detrás de cada decisión para que puedan determinar si la capacitación salió mal y cómo deben volver a capacitarse los modelos. Además, los proveedores deben proteger los datos que se utilizan para entrenar los modelos: si se violan los datos, el modelo podría, por ejemplo, ser entrenado para ignorar el comportamiento malicioso en lugar de marcarlo. Además, los clientes deben tener medidas de seguridad para asegurarse de mantener los datos de propiedad fuera de los modelos públicos.
Los proveedores también deberán verificar la deriva con sus modelos. modelo de IAsno son algo que se pueda configurar y olvidar. Deben ser afinados y actualizados con nueva información. Los investigadores y otros proveedores de seguridad cibernética pueden recurrir al Adversarial Threat Landscape for Artificial-Intelligence Systems (ATLAS) de MITRE para obtener ayuda para comprender mejor las amenazas a los sistemas de aprendizaje automático y para tácticas y técnicas, similares a las del marco MITRE ATT&CK, para abordar y resolver asuntos.
Traducción del artículo original de IDC
https://blogs.idc.com/2023/05/19/recent-strides-new-use-cases-for-generative-ai-in-security-analytics/
MAYO 19 DE 2023