Comparación de diferentes enfoques de IA para la seguridad del correo electrónico



Conozca la diferencia entre el aprendizaje automático «supervisado» y «no supervisado».

Las innovaciones en inteligencia synthetic (IA) han cambiado fundamentalmente el panorama de la seguridad del correo electrónico en los últimos años, pero a menudo puede ser difícil determinar qué hace que un sistema sea diferente al siguiente. En realidad, bajo ese término basic existen diferencias significativas en los enfoques que pueden determinar si la tecnología proporciona una protección genuina o simplemente una noción percibida de defensa.

Este website explora una distinción essential entre dos métodos de IA: aprendizaje automático supervisado y no supervisado. Un enfoque de aprendizaje automático supervisado alimenta a una máquina con miles de correos electrónicos que ya se han considerado maliciosos y la entrena para buscar patrones en estos correos electrónicos a fin de detectar futuros ataques. El aprendizaje automático no supervisado deja un sistema de inteligencia artificial para analizar la totalidad de los datos del mundo actual de una organización, lo que le permite establecer una noción de lo que es «ordinary» y detectar desviaciones sutiles indicativas de un ataque.

Algunos de los obstáculos que encuentra el aprendizaje automático supervisado se exploran cuando se analiza el caso de un ataque completamente nuevo que aprovecha los titulares de las noticias más recientes para evitar los sistemas de aprendizaje automático entrenados en conjuntos de datos. Una solución de seguridad de correo electrónico eficaz debería beneficiarse de las ventajas respectivas de ambos modelos mediante la superposición de los dos enfoques para comprender no solo Si un correo electrónico es malicioso pero por qué. Esta comprensión holística permite invariablemente tasas de captura superiores con menos falsos positivos.

Firmas: un enfoque retrospectivo
Durante las últimas décadas, las tecnologías de ciberseguridad han buscado mitigar el riesgo al evitar que vuelvan a ocurrir ataques vistos anteriormente. En los primeros días, cuando la vida útil de una determinada cepa de malware o la infraestructura de un ataque period del orden de meses y años, este método resultaba satisfactorio. Pero el enfoque inevitablemente da como resultado ponerse al día con los actores maliciosos: siempre mira al pasado para guiar la detección para el futuro. Con la disminución de la vida útil de los ataques, donde un dominio podría usarse en un solo correo electrónico y nunca volver a verse, este enfoque basado en firmas de aspecto histórico ahora está siendo reemplazado ampliamente por sistemas más inteligentes.

Entrenamiento de una máquina en correos electrónicos &#39malos&#39
El aprendizaje automático supervisado implica el aprovechamiento de un conjunto de datos extremadamente grande con miles o millones de correos electrónicos. Una vez que estos correos electrónicos llegan, una IA está capacitada para buscar patrones comunes en correos electrónicos maliciosos. Luego, el sistema actualiza sus modelos, el conjunto de reglas y las listas negras en función de esos datos.

Este método ciertamente representa una mejora a las reglas y firmas tradicionales, pero no escapa al hecho de que aún es reactivo y no puede detener una nueva infraestructura de ataque o nuevos tipos de ataques por correo electrónico. Es simplemente automatizar ese enfoque tradicional defectuoso, solo que, en lugar de que un humano actualice las reglas y firmas, una máquina las actualiza.

Confiar solo en este enfoque tiene un defecto básico pero crítico: no le permite detener nuevos tipos de ataques que nunca antes había visto. Acepta que tiene que haber un «paciente cero», o la primera víctima, para tener éxito.

La industria está comenzando a reconocer los desafíos con este enfoque, y se están invirtiendo grandes cantidades de recursos, tanto sistemas automatizados como investigadores de seguridad, para minimizar sus limitaciones. Esto incluye aprovechar una técnica llamada «aumento de datos», que implica tomar un correo electrónico malicioso que se ha filtrado y generar muchas «muestras de entrenamiento» utilizando bibliotecas de aumento de texto de código abierto para crear correos electrónicos «similares». De esta manera, la máquina aprende no solo el phish perdido como «malo», sino también varios otros similares, lo que le permite detectar futuros ataques que usan palabras similares y entran en la misma categoría.

Pero dedicar todo este tiempo y esfuerzo a intentar solucionar un problema irresoluble es como poner todos los huevos en la canasta equivocada. ¿Por qué intentar arreglar un sistema defectuoso en lugar de cambiar el juego por completo? Para explicar las limitaciones de este enfoque, veamos una situación en la que la naturaleza del ataque es completamente nueva.

El ascenso del Fearware
Cuando se produjo la pandemia mundial y los gobiernos comenzaron a imponer prohibiciones de viaje e imponer restricciones estrictas, indudablemente hubo una sensación colectiva de miedo e incertidumbre. Como se explica en este blog, los ciberdelincuentes se apresuraron a capitalizar, aprovechando el deseo de las personas de obtener información para enviar correos electrónicos de actualidad relacionados con COVID-19 que contiene malware o enlaces de obtención de credenciales.

Estos correos electrónicos a menudo falsificaron a los Centros para el Control y la Prevención de Enfermedades (CDC) y, más tarde, cuando el impacto económico de la pandemia comenzó a afianzarse, el Administración de Pequeños Negocios (SBA). A medida que cambiaba la situación mundial, también cambiaban las tácticas de los atacantes. Y en el proceso, se compraron más de 130.000 nuevos dominios relacionados con COVID-19.

Consideremos ahora cómo le iría al enfoque anterior para la seguridad del correo electrónico cuando se enfrenta a estos nuevos ataques de correo electrónico. La pregunta es: ¿Cómo se puede entrenar a un modelo para que busque correos electrónicos que contengan «COVID-19» cuando el término ni siquiera se ha inventado?

Y aunque COVID-19 es el ejemplo más destacado de esto, se sigue el mismo razonamiento para cada ciclo de noticias novedosas e inesperadas que los atacantes aprovechan en sus correos electrónicos de phishing para evadir las herramientas que utilizan este enfoque, y atraer la atención del destinatario como una ventaja. Además, si un ataque por correo electrónico está realmente dirigido a su organización, podría contener noticias a medida y personalizadas que se refieran a algo muy específico en lo que los sistemas de aprendizaje automático supervisados ​​nunca podrían entrenarse.

Esto no quiere decir que no haya un momento y un lugar en la seguridad del correo electrónico para mirar los ataques pasados ​​y prepararse para el futuro. Simplemente no está aquí.

Intención de detección
Darktrace observa los datos históricos para un uso específico a prueba de futuro. Analiza la gramática y el tono de los correos electrónicos, que no son propensos a cambiar con el tiempo, para identificar intención.

La IA hace preguntas como «¿Parece un intento de inducción? ¿El remitente está tratando de solicitar alguna información smart? Es esto ¿extorsión?» Al entrenar un sistema en un conjunto de datos extremadamente grande recopilado durante un período de tiempo, puede comenzar a comprender qué, por ejemplo, inducción parece. Esto le permite detectar fácilmente escenarios futuros de incentivos basados ​​en un conjunto común de características.

Entrenar un sistema de esta manera funciona porque, a diferencia de los ciclos de noticias y temas de los correos electrónicos de phishing, los patrones fundamentales en el tono y el lenguaje no cambian con el tiempo. Un intento de solicitud es siempre un intento de solicitud.

Por esta razón, este enfoque solo juega una pequeña parte de un motor muy grande. Proporciona una indicación adicional sobre la naturaleza de la amenaza, pero no se utiliza en sí mismo para determinar correos electrónicos anómalos.

Detectar las incógnitas desconocidas
Con el aprendizaje automático no supervisado, se extraen y extrapolan miles de puntos de datos de cada correo electrónico. Algunos de estos se toman directamente del correo electrónico, mientras que otros solo se pueden determinar mediante el análisis de tipo de intención anterior. También se obtienen conocimientos adicionales al observar los correos electrónicos en el contexto más amplio de todos los datos disponibles en el correo electrónico, la purple y el entorno de nube de la organización.

Solo después de tener un conjunto de indicadores ahora significativamente más grande y más completo, con una descripción más amplia y completa de ese correo electrónico, los datos se pueden ingresar en un motor de aprendizaje automático indiferente al tema para comenzar a cuestionar los datos de millones de formas con el fin de entender si es pertenece, dado el contexto más amplio del típico «patrón de vida» de la organización. Monitorear todos los correos electrónicos en conjunto permite que la máquina establezca cosas como:

  • ¿Esta persona suele recibir archivos zip?
  • ¿Este proveedor suele enviar enlaces a Dropbox?
  • ¿Este remitente ha iniciado sesión alguna vez desde China?
  • ¿Estos destinatarios suelen recibir los mismos correos electrónicos juntos?

La tecnología identifica patrones en toda una organización y adquiere un sentido de «yo» en continua evolución a medida que la organización crece y cambia. Es esta comprensión innata de lo que es y no es «typical» lo que permite a la IA detectar las «incógnitas desconocidas» en lugar de simplemente «nuevas variaciones de los males conocidos».

Este tipo de análisis aporta una ventaja adicional ya que es independiente del idioma y el tema: debido a que se enfoca en la detección de anomalías en lugar de encontrar patrones específicos que indiquen una amenaza, es efectivo independientemente de si una organización se comunica típicamente en inglés, español o japonés. , o cualquier otro idioma.

Al combinar ambos enfoques, puede comprender tanto la intención detrás de un correo electrónico como si la intención es para fines legítimos o malévolos. Y todo esto se hace sin siquiera hacer una suposición o tener la expectativa de haber visto esta amenaza antes.

Años en la fabricación
Ahora está bien establecido que el enfoque heredado de la seguridad del correo electrónico ha fallado, y esto hace que sea fácil ver por qué los motores de recomendación existentes se están aplicando al espacio de la ciberseguridad. A primera vista, estas soluciones pueden resultar atractivas para un equipo de seguridad, pero los correos electrónicos de spear-phishing verdaderamente únicos y altamente específicos pasan por alto estos sistemas. No se puede confiar en ellos para detener las amenazas de correo electrónico en el primer encuentro porque dependen de ataques conocidos con temas, dominios y cargas útiles vistos anteriormente.

Un enfoque de IA eficaz y en capas requiere años de investigación y desarrollo. No existe un modelo matemático único para resolver el problema de determinar los correos electrónicos maliciosos de las comunicaciones benignas. Un enfoque por capas acepta que los modelos matemáticos en competencia tienen sus propias fortalezas y debilidades. Determina de forma autónoma el peso relativo que deben tener estos modelos y los compara entre sí para producir una «puntuación de anomalía» standard dada como un porcentaje, que indica exactamente qué tan inusual es un correo electrónico en specific en comparación con el flujo de tráfico de correo electrónico más amplio de la organización.

Es hora de que la seguridad del correo electrónico descarte la suposición de que puede mirar las amenazas del pasado para predecir los ataques del mañana. Un sistema de ciberseguridad de inteligencia artificial eficaz puede identificar anomalías sin depender de ataques históricos, lo que le permite captar correos electrónicos novedosos y verdaderamente únicos en el primer encuentro, antes de que lleguen a la bandeja de entrada.

Este artículo fue escrito por Dan Fein, director de productos de seguridad de correo electrónico para América en Darktrace. Con sede en Nueva York, Dan se unió al equipo técnico de Darktrace en 2015, ayudando a los clientes a lograr rápidamente una comprensión completa y granular de los productos y la plataforma Cyber ​​AI líderes en el mundo de Darktrace. Dan tiene un enfoque specific en Antigena E-mail, asegurando que se implemente de manera efectiva en entornos digitales complejos y trabaja en estrecha colaboración con los equipos de desarrollo, marketing, ventas y técnicos. Dan tiene una licenciatura en informática de la Universidad de Nueva York.

Darktrace es el creador de la tecnología Autonomous Response. Su IA de autoaprendizaje se basa en el sistema inmunológico humano y la utilizan más de 3000 organizaciones para protegerse contra las amenazas a la nube, el correo electrónico, el IoT, las redes y los sistemas industriales. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic