El problema con la inteligencia synthetic en seguridad


Cualquier strategy de que AI va a resolver la disaster de habilidades cibernéticas es muy amplia. Este es el por qué.

Si crees todo lo que lees, la inteligencia artificial (IA) es el salvador de la ciberseguridad. De acuerdo con Capgemini, El 80% de las empresas cuentan con IA para ayudar a identificar amenazas y frustrar ataques. Esa es una gran pregunta a la altura porque, en realidad, pocos inexpertos realmente entienden el valor de la IA para la seguridad o si la tecnología puede abordar de manera efectiva los muchos casos de uso potenciales de la seguridad de la información.

Un cínico llamaría a la proliferación de afirmaciones sobre el uso de la IA para lo que es: publicidad publicitaria. Incluso el uso del término «IA» es engañoso. La «inteligencia artificial» hace que parezca que la tecnología tiene una inteligencia generalizada innata que puede abordar diferentes problemas. En realidad, lo que tiene en la mayoría de los casos es un algoritmo de aprendizaje automático (ML) que se ha ajustado para una tarea específica.

Los algoritmos que están integrados en algunos productos de seguridad podrían, en el mejor de los casos, llamarse IA estrecha (o débil). Realizan tareas altamente especializadas en un solo campo (estrecho) y han sido capacitados en grandes volúmenes de datos, específicos de un solo dominio. Esto está muy lejos de la IA common (o fuerte), que es un sistema que puede realizar cualquier tarea generalizada y responder preguntas en múltiples dominios. Estamos muy lejos de ese tipo de soluciones que llegan al mercado.

Tener una tecnología que solo puede hacer un trabajo no es un reemplazo para un miembro common de su equipo. Por lo tanto, cualquier plan de que la IA resolverá la disaster de habilidades cibernéticas es muy amplia. De hecho, estas soluciones a menudo requieren más tiempo de los equipos de seguridad, un hecho que a menudo se pasa por alto.

Por ejemplo, tome el caso de la detección de anomalías. Es realmente valioso para los analistas de su centro de operaciones de seguridad poder encontrar cualquier «cosa mala» en su red, y el aprendizaje automático puede ser adecuado para este problema. Sin embargo, un algoritmo que encuentre más «cosas malas» que nunca antes podría no ser tan bueno como parece. Todos los algoritmos de ML tienen una tasa de falsos positivos (identificando eventos como «malos» cuando son benignos), cuyo valor es parte de una compensación entre varios comportamientos deseados. Por lo tanto, tiende a necesitar un humano para clasificar estos resultados, y cuanto más «malo» encuentre el algoritmo, más eventos habrá para que los evalúe el miembro de su equipo.

El punto no es que este sea un resultado particularmente sorprendente para cualquiera que esté familiarizado con ML, solo que no es necesariamente de conocimiento común para los equipos que deseen emplear estas soluciones, lo que puede llevar a expectativas infladas de cuánto tiempo puede liberar ML para ellos .

Mientras que el ejemplo anterior se refería a cómo los algoritmos de ML pueden enfocarse en hacer parte del trabajo de un equipo de seguridad directamente, los algoritmos también se pueden usar para ayudarlos indirectamente al ayudar a los usuarios a evitar cometer errores que pueden suponer un riesgo. Este enfoque es emocionante porque comienza a buscar reducir la cantidad de posibles eventos que ingresan al embudo, en lugar de tratar de identificarlos y mitigarlos al final cuando contribuyen a un evento de seguridad. No se trata solo de resolver el problema más obvio que puede generar los resultados deseados a largo plazo.

El otro problema que es fácil pasar por alto cuando se considera ML es el de los datos. Cualquier algoritmo de ML solo puede funcionar cuando tiene suficientes datos para aprender. Se necesita tiempo para aprender solo piense, ¿cuántas fotos de gatos de World wide web necesita para mostrarlas antes de que reconozca a un gato? ¿Cuánto tiempo debe ejecutarse el algoritmo antes de que el modelo comience a funcionar? El proceso de aprendizaje puede llevar mucho más tiempo de lo esperado, por lo que los equipos de seguridad deben tener esto en cuenta. Además, los datos etiquetados, que son óptimos para algunos casos de uso, son escasos en seguridad. Esta es otra área en la que se puede requerir que un «humano en el bucle» clasifique los eventos de seguridad y ayude en la capacitación del algoritmo.

Existe una gran promesa para que el aprendizaje automático aumente las tareas que los equipos de seguridad deben emprender, siempre que se reconozca la necesidad de expertos tanto en datos como en temas. En lugar de hablar de «IA resolviendo una escasez de habilidades», deberíamos pensar en la IA como una mejora o asistencia con las actividades que las personas ya están realizando.

Entonces, ¿cómo pueden los CISO aprovechar mejor los últimos avances en aprendizaje automático, a medida que aumenta su uso en herramientas de seguridad, sin ser absorbidos por el bombo publicitario? La clave es venir con un ojo muy crítico. Considere en detalle qué tipo de impacto que desea tener al emplear ML y dónde en su proceso de seguridad basic quiere que esto sea. ¿Desea encontrar «más malo» o desea ayudar a evitar errores de usuario o alguna de las otras posibles aplicaciones?

Esta elección lo guiará hacia diferentes soluciones. Debe asegurarse de que las compensaciones de cualquier algoritmo de ML empleado en estas soluciones sean muy claras para usted, lo cual es posible sin necesidad de comprender los puntos más finos de las matemáticas bajo el capó. Finalmente, tendrá que sopesar los beneficios de estas compensaciones, frente a los efectos negativos de segundo orden menos obvios y potenciales en su equipo existente, por ejemplo, más eventos para clasificar.

Independientemente del tipo de problema que desee resolver, la disponibilidad de datos de alta calidad y actualizados es absolutamente essential para su éxito con las nuevas capacidades de ML. Las organizaciones pueden sentar las bases para esto ahora invirtiendo en la recopilación de datos de seguridad y capacidades de análisis y los conjuntos de habilidades de datos de su equipo de seguridad. La necesidad de tener pymes de seguridad para interpretar el resultado del aprendizaje automático (ya sea como parte de una solución formal «humana en el bucle», o simplemente para que los analistas evalúen los resultados después del procesamiento) continuará siendo basic en el futuro previsible.

La Dra. Leila Powell comenzó como astrofísica, utilizando supercomputadoras para estudiar la evolución de las galaxias. Ahora aborda más desafíos prácticos. Como científica principal de datos en Panaseer, ayuda a las funciones de seguridad de la información en organizaciones globales a comprender y … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia original