Cómo la IA puede evitar que los analistas de ciberseguridad se ahoguen en un mar de datos

A medida que las organizaciones dependen cada vez más de las redes, las plataformas en línea, los datos y la tecnología, los riesgos asociados con las filtraciones de datos y las violaciones de la privacidad son más graves que nunca. Si a esto le sumamos la creciente frecuencia y sofisticación de las amenazas cibernéticas, queda claro que fortalecer las defensas de ciberseguridad nunca ha sido más importante.

Los analistas de ciberseguridad están en la primera línea de esta batalla, trabajando las 24 horas del día en los centros de operaciones de seguridad (SOC), las unidades que protegen a las organizaciones de las amenazas cibernéticas, para examinar un volumen masivo de datos mientras monitorean posibles incidentes de seguridad.

Se enfrentan a enormes flujos de información de fuentes dispares, que van desde registros de red hasta fuentes de inteligencia sobre amenazas, tratando de prevenir el próximo ataque. En resumen, están abrumados. Pero demasiados datos nunca han sido un problema para la inteligencia artificial, por lo que muchos expertos recurren a la IA para reforzar las estrategias de ciberseguridad y aliviar la presión sobre los analistas.

Stephen Schwab, director de Estrategia de la División de Redes y Ciberseguridad del Instituto de Ciencias de la Información (ISI) de la USC, prevé equipos simbióticos de humanos e IA que colaboran para mejorar la seguridad, de modo que la IA pueda ayudar a los analistas y mejorar su rendimiento general en estos entornos de alto riesgo. Schwab y su equipo han desarrollado bancos de pruebas y modelos para investigar estrategias de ciberseguridad asistidas por IA en sistemas más pequeños, como la protección de una red social.

«Estamos tratando de garantizar que los procesos de aprendizaje automático puedan aliviar, pero no aumentar, estas preocupaciones y aligerar la carga de trabajo del analista humano», dijo.

David Balenson, director asociado de la división de Redes y Ciberseguridad de ISI, destaca el papel fundamental de la automatización para aliviar la carga de los analistas de ciberseguridad. «Los centros de operaciones de seguridad (SOC) están inundados de alertas que los analistas deben analizar rápidamente en tiempo real y decidir cuáles son síntomas de un incidente real. Ahí es donde entran en juego la IA y la automatización, detectando tendencias o patrones de alertas que podrían ser incidentes potenciales», afirma Balenson.

Buscando transparencia y explicabilidad

Sin embargo, la integración de la IA en las operaciones de ciberseguridad no está exenta de desafíos. Una de las principales preocupaciones es la falta de transparencia y explicabilidad inherente a muchos sistemas impulsados ​​por IA. «El aprendizaje automático (ML) es útil para monitorear redes y sistemas finales donde los analistas humanos están fatigados», explica Schwab. «Sin embargo, son una caja negra: pueden generar alertas que pueden parecer inexplicables. Aquí es donde entra en juego la explicabilidad, ya que el analista humano debe confiar en que el sistema de ML está funcionando dentro de lo razonable».

Una solución que propone Schwab es la creación de explicaciones que presenten las acciones del sistema de aprendizaje automático en un inglés computarizado, similar al lenguaje natural, que el analista pueda entender. Marjorie Freedman, científica principal de ISI, está investigando este tema. «He estado estudiando lo que significa generar explicaciones y lo que se espera de la explicación. También estamos explorando cómo una explicación puede ayudar a una persona a verificar la generación de un modelo», dijo.

El arte de marcar

Un ejemplo de explicación de una decisión de IA en materia de ciberseguridad es el proceso de autenticación en línea. Al autenticarse en un sistema, los usuarios escriben una contraseña o un código PIN. Sin embargo, distintas personas introducen los datos siguiendo patrones diferentes, que la IA podría detectar incluso si el código se ingresó correctamente.

Estos patrones «potencialmente sospechosos» podrían no ser en realidad brechas de seguridad, pero la IA los tiene en cuenta de todos modos. Si, además de marcarlos, se proporciona una explicación al analista humano que incluya el patrón de entrada como una de las razones de la marcación, el analista comprenderá mejor el razonamiento detrás de la toma de decisiones de la IA. Y armado con esa información adicional, el analista puede tomar decisiones más informadas y tomar las medidas adecuadas (es decir, validar o anular la determinación de la IA). Freedman cree que las operaciones de ciberseguridad deberían ejecutar su mejor modelo de ML para predecir, identificar y abordar las amenazas en paralelo con enfoques que expliquen eficazmente la decisión a los expertos.

«Si alguien cierra un sistema que le costará mucho dinero a la empresa, se trata de una situación de alto riesgo en la que debemos confirmar que es la decisión correcta», dijo Freedman. «La explicación puede no ser exactamente la deducción de la IA de cómo llegó allí, pero podría ser lo que el analista humano necesita saber para determinar si es correcta o no».

Mantener los datos seguros y privados

Si bien la confianza entre el analista humano y la máquina es uno de los desafíos de la IA en materia de ciberseguridad, la confianza en que la información confidencial o de propiedad exclusiva con la que se entrena a la IA seguirá siendo privada es otro. Por ejemplo, para entrenar un modelo de aprendizaje automático para mantener los datos seguros o proteger los sistemas, una organización podría utilizar detalles operativos o vulnerabilidades de seguridad.

La posible exposición de este tipo de información sensible sobre la postura cibernética de una organización es una preocupación a la hora de integrar la IA en las operaciones de ciberseguridad. «Una vez que se ha introducido información en sistemas como grandes modelos de lenguaje, incluso si se intenta eliminarla, no hay garantía de que se haya logrado evitar que se discuta esa información. Necesitamos buscar formas de hacer que ese espacio compartido sea seguro para todos», dijo Schwab.

Schwab, Freedman y el equipo de ISI esperan que su trabajo conduzca a nuevas formas de aprovechar las fortalezas tanto de los humanos como de la IA para reforzar las ciberdefensas, mantenerse por delante de adversarios sofisticados y aliviar la sobrecarga en los SOC.