Ciberseguridad Los sistemas están maduros para la disrupción. A lo largo de los años, han proliferado las herramientas individuales, cada una con su propio formato de datos, provocando una avalancha de datos dispares. Además, existe una escasez mundial de analistas de ciberseguridad calificados que puedan evaluar esos datos (y son muy costosos si puede encontrarlos). Finalmente, los piratas informáticos son cada vez más inteligentes y creativos. Se suponía que la IA era la cura para estos problemas, pero ha sido de uso limitado para abordar el problema a escala porque requiere una infraestructura grande y cuidadosamente planificada. En este artículo, veremos el papel de IA en ciberseguridad y cómo puede convertirse en una tecnología verdaderamente transformadora.
IA como aceite de serpiente
La IA se menciona mucho en la literatura de marketing que describe las soluciones de ciberseguridad, pero hasta ahora no ha sido tan transformadora como podría pensar. A pesar de un tamaño de mercado que crece a un ritmo Tasa de crecimiento anual compuesta del 20.5 por ciento, la IA sigue siendo operacionalmente difícil de implementar en problemas de seguridad. Si entraras en un moderno centro de operaciones de seguridad (SOC), probablemente encontrará algunos televisores grandes con algunos paneles de control y CNN difíciles de leer, y analistas de seguridad que probablemente encuentren su trabajo doloroso, porque pasan su tiempo correlacionando datos manualmente y tratando de discernir qué está sucediendo en su empresa en frente a ataques cada vez más complejos. Si los humanos están haciendo eso, eso plantea la pregunta, "¿Dónde está la IA?"
Ciberseguridad es un problema operativo complicado, y esa es la breve razón por la que la IA ha tardado en transformarlo. Encontrar amenazas en una empresa a través de cientos de fuentes de telemetría cuando las amenazas a menudo parecen idénticas a la actividad normal es un problema muy difícil. Además, los datos de cada herramienta de seguridad pueden tomar diferentes formas y deben normalizarse antes de que puedan usarse para entrenar un sistema de IA.
Independientemente de la industria y el caso de uso, la IA aprende de los datos: el Motor de IA debe ser entrenado con datos para que pueda comenzar a aprender lo que es o no es una anomalía. Eso es lo complicado del problema de seguridad: los datos de seguridad de cada empresa se ven, como mínimo, un poco diferentes, con diferentes herramientas y patrones de comportamiento, y como máximo, los datos se ven muy diferentes. No existe un conjunto de datos de entrenamiento de oro en seguridad que se pueda licenciar como podría haber para los sistemas de reconocimiento de imagen o voz. Si desea utilizar IA para abordar el problema de seguridad, debe crear y adquirir sus propios datos.
Normalizar los datos para que sean útiles para un motor de IA es un gran desafío. El problema es tan valioso que Scale AI, una startup que crea API de datos para el desarrollo de IA centrada principalmente en aplicaciones de automóviles sin conductor, obtuvo una valoración de $ 7 mil millones menos de cinco años después de su fundación. Scale AI ya cuenta con muchas de las organizaciones más innovadoras del mundo como sus clientes.
Lo que tomará la IA transformadora
La IA en seguridad eventualmente será transformadora, probablemente tanto para la ofensiva como para la defensiva, pero esa es una historia para otro día. Aquí, "transformador" significa ampliamente transformador, en todas las partes de la seguridad, por lo que altera fundamentalmente la forma en que una empresa se ocupa de la seguridad. Por ahora, tenemos que contentarnos con algunas aplicaciones limitadas donde la IA puede mejorar la seguridad.
Aún así, hay algunos puntos brillantes para la IA en seguridad; estos son fáciles de encontrar pensando en el problema de los datos. ¿Qué partes de la pila de seguridad generan datos limpios y entrenables? El fraude por correo electrónico y la detección de malware son dos grandes ejemplos: el Motor de IA puede aprender de los ejemplos de phishing disponibles o firmas de malware y detectar exploits similares. Los datos de los correos electrónicos de los clientes y los entornos limitados de malware se pueden usar para entrenar modelos de IA que potencian los productos empresariales. La misma capacitación es mucho más difícil de implementar en problemas como la detección de ataques que se mueven lateralmente a través de una red (digamos, desde el firewall al servidor de Active Directory a un servidor de datos), porque este movimiento lateral se verá un poco diferente en cada empresa.
La creación de IA que protegerá ampliamente a una empresa en todas sus operaciones digitales se parecerá en cierto modo a los esfuerzos que están realizando las empresas de automóviles sin conductor en la actualidad. Por ejemplo, desde 2009, el software para automóviles sin conductor de Waymo se ha capacitado en más de 15 mil millones de millas de conducción simulada y más de 20 millones de millas de experiencia de conducción pública. Waymo tiene un enfoque riguroso para probar en diferentes niveles de fidelidad (simulación, curso cerrado, mundo real), ejecutando escenarios con miles de variaciones, mientras recopila datos con el fin de mejorar.
Esta no es una analogía perfecta para la IA en seguridad, pero es bastante buena: pruebas con datos simulados, pruebas en entornos de laboratorio con ataques simulados o reales, y pruebas en operaciones del mundo real en un conjunto diverso de empresas. Los problemas de seguridad con acceso natural a datos más limpios surgirán con productos verdaderamente impulsados por IA antes que los problemas de datos más difíciles en toda la pila de seguridad empresarial. Llevará tiempo y capital llegar allí, y las innovaciones que se centren despiadadamente en el problema de los datos serán, ante todo, las que desbloqueen una amplia transformación. Hoy en día, muchas herramientas de seguridad simplemente no se enfocan en la normalización de datos porque tienden a estar aisladas en puntos débiles específicos en la infraestructura general.
Cómo se verá la IA transformadora en seguridad
Imagine que cada iniciativa de TI, configuración, registro de seguridad y alerta pudiera ser revisado por el experto en seguridad humana líder en el mundo en esa área determinada en tiempo real, sin interrupción de las operaciones comerciales. Imagine que los analistas empresariales pudieran consultar y obtener instrucciones de ese experto. AI en seguridad eventualmente se sentirá así.
¿Cómo? Los productos que se basan en activos de datos bien pensados, que reducen la complejidad de los datos, en última instancia serán los reyes de la categoría; de lo contrario, el producto no funcionará de un cliente a otro y será un producto con márgenes similares a los de un servicio y no escalará. (Andreesen Horowitz descubrió de manera interesante que la mayoría de sus empresas de IA empresarial tienen márgenes mucho más bajos que los negocios de SaaS comparables debido a los costos inherentes de construir y escalar la IA.)
Estos futuros reyes de la categoría primero tendrán que invertir en infraestructura y recopilación de datos, probablemente durante años, antes de que sus datos puedan realmente considerarse un activo y ayudar en la naturaleza de mejora de su producto. Sin embargo, una vez que estos reyes de la empresa obtengan un activo de datos real para la IA, su ritmo de innovación será difícil, si no imposible, de igualar por parte de los competidores, y serán coronados como reyes de la categoría, siempre que aún logren mantener un producto intuitivo. Entonces, así como la categoría de motores de búsqueda se consolidó rápidamente en Google, lo mismo sucederá con las soluciones de ciberseguridad con uso intensivo de datos. Específicamente, busque una mayor consolidación en Seguridad de la Información y Gestión de eventos (SIEM), Detección y respuesta ampliadas (XDR), Detección y respuesta de punto final (EDR) y Detección y respuesta de red (NDR) mercados.
Por lo tanto, la IA está emergiendo primero en seguridad en problemas más pequeños donde hay menos complejidad de datos, como se señaló en los ejemplos anteriores de fraude por correo electrónico y malware. Luego, la IA se implementará lentamente en problemas de datos más complejos, pero solo los productos que se centren despiadadamente en administrar la complejidad de los datos surgirán con soluciones significativas. motores de IA. Para ser eficaz, un programa de seguridad impulsado por IA debe poder recopilar datos de todas las herramientas de seguridad y fuentes de amenazas disponibles, y luego normalizar esos datos para que sean útiles para entrenar el motor de IA. Así será el futuro de la IA en ciberseguridad.
Sobre el Autor
Sam Jones es vicepresidente de administración de productos en Stellar Cyber, Inc. Es un líder experimentado en desarrollo de productos con un historial de creación de productos de inteligencia artificial y seguridad que los clientes adoran. Tiene una sólida experiencia en AI/ML, infraestructura de datos, seguridad, SaaS, diseño de productos y defensa. Sam ha ocupado puestos de productos e ingeniería en empresas como Palantir Technologies y Shield AI, y trabajó para la Fuerza Aérea de EE. UU. en estrategia de ciberdefensa. Obtuvo su licenciatura en Ingeniería Eléctrica e Informática de la Universidad de Cornell.
