Por Francisco Javier Sánchez Zurdo, AI Project Manager de SIA, Sistemas Informáticos Abiertos.
Los ataques a los sistemas informáticos de una entidad u organización son cada vez más frecuentes, tal y como estamos viendo en las últimas semanas. Acabamos de conocer impactos de diferente gravedad como el robo de información confidencial en una empresa energética o incluso el robo de millones de datos fiscales de ciudadanos y empresas de Bulgaria. Aunque existen diferentes tipologías y escalas de ataques, gran parte de ellos se diseñan para robar credenciales de acceso o para explotar brechas de seguridad filtrando datos o solicitando rescates. Casi nada se conoce de los impactos a pequeñas empresas o incluso a los particulares en este tipo de ataques.
En este “juego” de ataque-defensa desconocemos muchas variables que nos ayudarían a minimizar los impactos: cuándo se realizará su ataque, qué y cómo se pretende atacar; y fundamentalmente, cuál es la intención final del ataque. Si además añadimos que se tarda más de dos meses en descubrirse las brechas de seguridad y que se necesitan otros 50 días para contener e investigar, el escenario es totalmente negativo.
Todo lo anterior se resume en una simple frase a asumir cuanto antes:
“Siempre vamos por detrás de los malos”.
Sin embargo, hay una variable de la que sí podemos tomar el control en esa situación de desventaja clara:
“El tiempo entre que se sufre un ataque y se detecta en la entidad”.
Esa es la variable que puede minimizarse con la Inteligencia Artificial (IA).
Escenarios de protección. ¿Algo nuevo?
En la actualidad se desean proteger dos escenarios distintos:
• Los sistemas de información internos en la organización: infraestructuras, servicios, activos digitales, etc.; los cuales dependen directamente de la entidad y que pueden estar on-premise o en la nube.
• La imagen y la reputación externa, que depende de la percepción que tienen terceros de la propia entidad.
No es algo nuevo que haya surgido recientemente. A modo de símil, Felipe II en su basto imperio tuvo que contener amenazas internas (intrigas palaciegas, revuelta en Flandes, rebelión de los moriscos, …) y amenazas externas (la leyenda negra del Rey, batalla de Lepanto, …). En aquel momento se tenía un sistema polisinodial (conjunto de Consejos que trataban los asuntos de cada territorio/estado), que trasladaba los asuntos al Rey para la toma de decisiones. También tenían a su disposición una extensa red de espionaje para tener control de la información de lo que sucedía fuera del reino con respecto a los intereses del imperio.
La monitorización interna de los sistemas informáticos de una entidad (sensores, concentradores de logs, SIEMs, …) y la monitorización externa de redes públicas/sociales /darknet son los equivalentes a día de hoy de lo que hace cinco siglos se hacía.
La IA como extractor de patrones de comportamiento
El modelo tradicional de detección de alertas se basa en el establecimiento cuasi-manual de reglas en los sistemas de monitorización por parte de los expertos analistas. Sin embargo, dichas reglas no cubren todos los casos posibles y suelen cambiar con una frecuencia mayor que la disponibilidad de los expertos para su actualización.
Con los volúmenes de datos almacenados de sistemas tipo firewall, IDS/IPS, antivirus, correos electrónicos, comunicaciones VPN, … y las noticias reputacionales monitorizadas (redes sociales principalmente), las alertas se van acumulando siendo la mayoría de las veces falsos positivos. Esto ralentiza la contención de aquellas alertas que sí son maliciosas y que deben ser analizadas y contenidas cuanto antes.
La IA actúa de una manera totalmente diferente. En base al histórico de actuaciones (datos y respuestas dadas en un momento determinado) y la correlación entre sistemas con el concepto de sesión de trabajo, se puede averiguar qué reglas son las que se cumplen para esos datos. La aplicación posteriormente de dichas reglas en los sistemas tradicionales de monitorización y alerta permite tener sistemas muy actualizados y entrenados para la detección temprana de incidentes.
Nada impide que se puedan calcular las reglas periódicamente y en tiempos muy cortos, bajando a una pequeña decena de minutos en vez de semanas si lo hiciera técnico especialista de seguridad. Esta es la premisa de reducción del gap de tiempo que se indicaba al principio del artículo con respecto al tiempo de ataque y la detección del mismo.
Aunque los sistemas en los que se aplica técnicas de IA están a la orden del día, es importante reseñar dos cosas:
1. Que los sistemas de IA no son infalibles al 100% y dependen mucho de la calidad y la cantidad de los datos con los que se entrenen. No por disponer de muchos datos se obtienen mejores resultados si son de baja calidad y viceversa.
2. Que la compartición de las reglas calculadas por la IA dentro de dos o más entidades, favorece la protección del conjunto de ellos. Se obtiene el típico “efecto vacuna” que beneficia al grupo. La detección de ataques y la anticipación de contramedidas para el resto, incluso antes de sufrir dichos ataques, son los principales beneficios que se pueden conseguir.
Para finalizar, desde mayo de 2019 las disposiciones del Reglamento 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea, ayudará a la innovación en la ciberseguridad, utilizando bases de datos comunes que fomenten el efecto “vacuna” entre entidades. Esa puede ser la línea principal de protección en no mucho tiempo.