En julio, Wall Street vivió su peor día desde 2022, cuando el Nasdaq, centrado en la tecnología, cayó un 3,6%. La caída se debió en gran medida a lo que los analistas sugieren que es el resultado de las ganancias decepcionantes de algunas de las principales empresas tecnológicas. Lo que es notable es que las empresas más afectadas por esta caída fueron las que invirtieron fuertemente en inteligencia artificial.
Si bien la IA ha generado una inversión y un optimismo significativos, existe una creciente preocupación de que sus capacidades puedan haber sido sobrevaloradas. Esta caída de las acciones tecnológicas subraya la creciente presión sobre los tomadores de decisiones para demostrar que la IA realmente puede estar a la altura de sus expectativas.
Para los CISO, esta presión es particularmente aguda. Ahora tienen la tarea de garantizar que sus iniciativas impulsadas por IA no solo refuercen la ciberseguridad, sino que también produzcan resultados mensurables que puedan comunicarse a los altos ejecutivos y a los miembros del directorio.
La ciberseguridad, en particular, tiene mucho que ganar con las capacidades de la IA. Los algoritmos de aprendizaje automático de la IA pueden ayudar a detectar anomalías en el comportamiento de los usuarios, una característica esencial en el panorama de amenazas en rápida evolución de hoy. De hecho, un estudio reciente concluyó que el 78 % de los CISO ya utilizan la IA de alguna manera para apoyar a sus equipos de seguridad.
Sin embargo, como ocurre con cualquier tecnología en evolución, la IA debe abordarse con una buena dosis de escepticismo. Para garantizar que las inversiones en IA produzcan resultados tangibles, los CISO deben plantearse tres preguntas fundamentales antes de integrar la IA en sus estrategias de ciberseguridad.
1. ¿Dónde tiene más sentido utilizar la IA?
Antes de implementar la IA, es esencial determinar dónde puede tener el mayor impacto.
Si bien muchos profesionales buscan integrar la IA en la detección y respuesta ante amenazas, es importante comprender las limitaciones. Los modelos de lenguaje extenso (LLM) pueden ser valiosos para analizar registros atribuidos a detecciones y brindar orientación de alto nivel para la respuesta. Sin embargo, la naturaleza dinámica del panorama de amenazas presenta un desafío: los actores de amenazas también están utilizando IA, y el ritmo rápido al que evolucionan a menudo supera a los sistemas de identificación de amenazas.
Para seguir el ritmo de los actores de amenazas, un área en la que la IA puede tener un impacto significativo e inmediato es en la automatización de tareas repetitivas que actualmente consumen gran parte del tiempo y la capacidad mental de los equipos de seguridad. Por ejemplo, la información y la orientación impulsadas por la IA pueden ayudar a los analistas del SOC a clasificar las alertas, lo que reduce la carga de trabajo y les permite centrarse en amenazas más complejas. Al aprovechar la IA para mejorar el nivel de los analistas en el SOC, los CISO pueden liberar a sus equipos para que se concentren en problemas de alta prioridad, lo que mejora la eficiencia general y los tiempos de respuesta.
2. ¿Existe evidencia de que la IA cumple con mi caso de uso?
No todos los casos de uso ofrecen el mismo resultado, y es más seguro confiar en aplicaciones probadas antes de experimentar con enfoques más novedosos.
Por ejemplo, los sistemas de gestión de eventos e información de seguridad (SIEM) utilizan desde hace mucho tiempo la IA y el aprendizaje automático para el análisis de comportamiento. Los sistemas de análisis de comportamiento de usuarios y entidades (UEBA) basados en aprendizaje automático son excelentes para detectar actividades anormales que pueden indicar amenazas a la seguridad, como ataques internos, cuentas comprometidas o acceso no autorizado.
Estos sistemas funcionan analizando grandes cantidades de datos históricos para establecer líneas de base de comportamiento para usuarios y entidades, y luego monitorean continuamente la actividad en tiempo real para detectar desviaciones de la norma.
Al centrarse en aplicaciones de IA bien establecidas como UEBA, los CISO pueden garantizar que sus inversiones en IA brinden valor y al mismo tiempo reduzcan el riesgo.
3. ¿Cuál es la calidad de los datos proporcionados a los modelos de IA?
Uno de los factores más decisivos para el éxito de la IA es la calidad de los datos que se proporcionan al modelo y la indicación. Los modelos de IA son tan buenos como los datos que consumen y, sin acceso a datos precisos, completos y enriquecidos, los sistemas de IA pueden producir resultados erróneos.
En ciberseguridad, donde las amenazas evolucionan continuamente, es fundamental proporcionar a los sistemas de IA un conjunto de datos diverso que abarque el contexto de las superficies de ataque, registros detallados, alertas y actividades anómalas.
Sin embargo, las superficies de ataque emergentes, como las API, plantean un desafío único. La seguridad de las API es un objetivo atractivo para los piratas informáticos porque las API suelen transmitir información confidencial. Si bien los firewalls de aplicaciones web (WAF) tradicionales pueden haber sido suficientes para proteger las API en el pasado, los actores de amenazas actuales han desarrollado técnicas más sofisticadas para violar las defensas perimetrales. Desafortunadamente, debido a que la seguridad de las API es un área relativamente nueva, esta superficie de ataque rara vez se monitorea y, lo que es peor, no se incluye en el análisis de amenazas de IA.
Si bien el éxito depende de la disponibilidad de datos de alta calidad, la IA puede no ser aún la mejor solución para superficies de ataque inmaduras o emergentes como las API, donde las prácticas de seguridad fundamentales pueden estar aún evolucionando. En estos casos, los CISO deben reconocer que incluso los algoritmos de IA más avanzados no pueden compensar la falta de medidas de seguridad fundamentales y datos confiables.
Conclusión
La IA tiene un enorme potencial para transformar la ciberseguridad, pero no es una fórmula mágica. Al plantearse preguntas críticas sobre dónde la IA puede aportar más valor, basarse en casos de uso comprobados y garantizar el acceso a datos de alta calidad, los CISO pueden tomar decisiones informadas sobre cómo y cuándo integrar la IA en sus estrategias de ciberseguridad. En un panorama en el que tanto las oportunidades como las amenazas evolucionan rápidamente, un enfoque estratégico para la implementación de la IA será clave para el éxito.
Fuente y redacción: Robert Rea – Graylog / helpnetsecurity.com
