Claves 2024: hacia la ciberseguridad en tiempo real con ‘IA de precisión’

“Somos más que una compañía de firewall, ayudamos a crear un zero trust plataforma, una clode to cloud Platform y una AI-Driven Security Operations Platform”. Así describe Haider Pasha, chief security officer EMEA y Latam de Palo Alto Networks la actividad de su empresa. Se puede apostillar: 6.890 millones de dólares en ingresos y un 25% de crecimiento en 2022.

El Top5 de riesgos identificados por Palo Alto Networks incluye desde la expansión de la superficie de ataque a la sobrecarga de datos, la circunstancia de tener empleados en cualquier ubicación, como consecuencia del incremento del trabajo híbrido, la complejidad de la cadena de suministro, que lleva incluida la potencial “disrupción de una tercera parte” y, por último, la omnipresente compliance regulatoria.

“La cantidad de información es un problema”, afirma Haider Pasha, “el 90% de los datos de las organizaciones es todavía oscuro, pueden ser captados y almacenados, pero no se transforman en conocimiento”.

Con estos factores hay que lidiar. Enfrente, un monstruo cada vez más grande. “La industria del cibercrimen mueve ya ocho billones de dólares” (billones europeos), de modo se la podría clasificar ya como “la tercera mayor economía del mundo tras Estados Unidos y China, con tasas de crecimiento anual del 13%”.

El directivo de Palo Alto Networks insta a las organizaciones a “adaptar el marco de trabajo en seguridad que se basa en una pirámide con estrategia en la cúspide, organización, política, proceso y tecnología”. Y a actuar con más rapidez. En una economía habilitada por software, la estructura de defensa “se tiene que actualizar cada seis meses”.

El problema es que “los ataques se están produciendo más rápido de lo que las organizaciones pueden responder”. Este es un repaso a la evolución del periodo de tiempo que transcurre desde que se produce la vulneración hasta que se consigue la expulsión, según Haider Pasha: “en 2021 eran 44 días; en 2022 eran 30 días; en 2023 son cinco días y últimamente son horas. La industria tarda de media seis días en detectar y poner remedio y el GDPR exige que sean tres días desde la notificación de la brecha en los datos”.

En ese sentido, la inteligencia artificial no va a venir necesariamente a nuestro rescate. De hecho, más bien al contrario: “va a incrementar la velocidad de los atacantes, que podrán disponer de nuevos casos de uso”. Con IA es cuestión de generar el email de phishing “y en un par de horas lo introducen en una organización. Ahora es mucho más fácil que la gente pique porque están escritos en un perfecto inglés”.

Además, los ciberdelincuentes pueden utilizar “nuevos vectores, como los aspectos de la personalidad, imágenes en Youtube, la voz de una persona, basta con grabar 60 segundos”. Un banco ha sufrido recientemente unas pérdidas de 35 millones de dólares en un ataque en el que simularon la petición de un directivo a otro para que se hiciera cargo de un asunto porque tenía que coger un avión.

“El gran reto del CISO hoy es que por cada una de las iniciativas digitales que toma tiene 10 puntos de producto, servicio o venta. Hay más de 4.500 vendedores en la industria, el mercado está muy fragmentado”, indica Haider Pasha.

En su opinión, “se pueden mejorar los resultados en ciberseguridad con tres principios centrales: tecnología innovadora, IA y automatización, centrada más en el tiempo real más que en la reacción, e integración nativa, debes tener dos o tres partners en el ecosistema”. Cree que la IA “no será ya mucho tiempo más una tendencia emergente. Si se pregunta a los CIO dónde están incrementando la inversión, la ciberseguridad ocupa el primer puesto (66%) y business analytics el segundo (55%).

“Hay que comprender que la IA no es nada nuevo, vivimos en un mundo que me gusta llamar de inteligencia artificial estrecha, donde el machine learning (ML) resuelve problemas específicos. Ahora tenemos IA generativa por un lado y, en el otro, tenemos la IA de precisión con modelos determinísticos realizando casos de uso específicos para resolver tareas específicas. Tienes que actuar correctamente el 100% del tiempo o algo malo puede sucederte, tienes que ser preciso”, advierte el directivo de Palo Alto Networks.

Estándar

Mientras la IA generativa “tienes que usarla de forma friendly”, la clave en su opinión es “la IA de precisión, porque ahí es donde los ataques deben ser resueltos y parados en tiempo real”. En ese sentido, la IA “cambiará la ciberseguridad porque bloqueará los ataques sofisticados sin intervención humana en tiempo real, y a los equipos los potenciará para ser más efectivos y eficientes”.

Tres pilares para aprovechar el poder de la IA, según Haider Pasha: “necesitas adoptar un estándar, crear una plataforma; en segundo lugar, los datos son importantes por su uso, necesitas usar los datos útiles para el caso específico que necesitas resolver; y conviene generar experiencia profunda”.

Cómo lo ha hecho Palo Alto. “Hacemos IA de precisión bajo el capó, no es nuevo, es básicamente ML embebido, por ejemplo, en nuestros servicios de sandbox para Wildfire. Desde 2013 hemos venido implementando la IA en nuestros productos. Cada día analizamos 750 millones de eventos únicos y nuevos, detectamos 1,5 millones de tipos de ataque que no existían el día anterior y bloqueamos 8.600 millones de ataques”.

La compañía norteamericana usa IA generativa “para entrenar al sistema en la detección de ataques. Crear una política de IA es crítico, porque te permite identificar qué IA es aceptable y cuál no. Hemos bloqueado ChatGPT en nuestro entorno, lo podemos usar, pero no con los datos de nuestros clientes”.

Las lecciones aprendidas en este proceso son varias: “el dato es más importante que el modelo; la selección del modelo de IA no es trivial, varía según el caso de uso; se necesita flexibilidad de arquitectura para abastecer múltiples modelos y almacenamiento de datos; todos los casos de uso deben aprovechar una única fuente de verdad para las necesidades de datos comunes; se requiere una gobernanza fuerte para asegurar la consistencia y la calidad de los inputs de los modelos de entrenamiento; se necesita armonización a lo largo de los copilotos para asegurar la consistencia de la experiencia de usuario; y la eficiencia requiere de un proceso de rediseño”.