La evolución de la inteligencia de amenazas

La opinión de Michael Xie, fundador, presidente y CTO de Fortinet

La batalla de seguridad entre los profesionales de TI y los ciberdelincuentes se trata en realidad de demostrar constantemente quién es más listo que el otro. La seguridad no se trata solo de herramientas, sino también de la inteligencia que las impulsa. Mientras nos preparamos para expandir nuestro centro de investigación de seguridad en Vancouver, este es un buen momento para revisar la historia de la evolución de la inteligencia de amenazas.

Durante las primeras décadas de la tecnología de seguridad, los esfuerzos se centraron principalmente en proteger las conexiones hacia y desde la red. Los firewalls actuaron como centinelas del acceso, monitoreando esas conexiones. Luego las amenazas comenzaron a cambiar y el aumento de las aplicaciones condujo a la necesidad de asegurar el contenido dentro de esas conexiones, llamamos a este cambio la segunda generación de seguridad.

Estas nuevas amenazas requerían herramientas de seguridad tradicionalmente separadas para trabajar juntas en la inspección y asegurar las transacciones. Entendimos rápidamente que el desarrollo de los primeros dispositivos de seguridad UTM y NGFW necesitaba de herramientas de inteligencia de amenazas que pudieran ver y correlacionar información de una serie de diferentes vectores de amenazas. Los esfuerzos iniciales se centraron principalmente en antivirus, antispam, filtrado web y firmas IPS que nos permitieron ver e identificar las amenazas ocultas dentro del tráfico de la red.

Durante los siguientes nueve años, este proceso creció orgánicamente. Abrimos nuevos laboratorios en todo el mundo y pronto tuvimos más de cien investigadores de seguridad a tiempo completo. Pero los cibercriminales fueron implacables en el desarrollo de sus capacidades también, pronto se hizo evidente que jugar al gato y el ratón no era un enfoque eficaz para abordar el delito cibernético. Para enfrentar el problema y permanecer allí, se debe ser capaz de innovar en la comunidad del cibercrimen.

Para 2010, habíamos actualizado nuestro primer centro de datos de inteligencia de amenazas a gran escala, diseñado para apalancar y correlacionar completamente la rica inteligencia recopilada de los cientos de miles de sensores (ahora casi 3,5 millones) que comenzamos a instalar en todo el mundo desde el primer día. Un sistema operativo común, administración y controles unificados y estándares abiertos permitieron que las actualizaciones de seguridad se compartieran simultáneamente en todos los dispositivos de seguridad implementados, al mismo tiempo que permitían compartir y correlacionar la inteligencia para proporcionar una respuesta unificada a las amenazas.

Para 2015, habíamos desarrollado nuestro Sistema de Detección de Auto-Desarrollado construido alrededor de miles de millones de nodos interconectados a través de aprendizaje automático e inteligencia artificial de vanguardia. Ahora capacitamos máquinas para enseñar a máquinas, lo que les permite reemplazar con eficacia muchas de las tareas cotidianas que los analistas tradicionalmente han tenido que hacer. Este modelo permite a los analistas concentrarse ahora casi exclusivamente en tareas más complejas y es un enfoque necesario si se quiere enfrentar de manera efectiva el panorama explosivo actual de amenazas.

Este es solo el comienzo. La investigación innovadora sobre máquinas de entrenamiento con inteligencia artificial continuará aumentando la autonomía de los sistemas de detección y defensa, permitiendo realizar una detección, correlación y análisis cada vez más complejos. También estamos ampliando activamente la huella para cubrir futuras superficies de ataque, incluyendo dispositivos IoT, automóviles conectados, ciudades inteligentes, drones e infraestructura crítica.

Este enfoque sienta las bases para la próxima generación de protección: la seguridad de red basada en la intención (IBNS, por sus siglas en inglés). IBNS cambiará la seguridad de ser reactiva a proactiva. Se basará en el comportamiento de la red, analizará las vulnerabilidades y anticipará los ataques antes de que ocurran. El análisis de comportamiento avanzado podrá determinar la intención antes de que un actor o malware inicie un ataque. Para hacer esto, la visibilidad de amenazas, la correlación en tiempo real y la remediación autónoma deben integrarse juntas y distribuirse a lo largo de las distintas etapas de un ataque. Para que esto funcione, IBNS debe basarse en la confianza completa en la inteligencia de amenazas subyacente.

Estamos en un punto de inflexión complicado. A medida que la sociedad se desplaza hacia una economía digital, la tecnología está configurando prácticamente cada parte de nuestras vidas. Las organizaciones están lidiando con desafíos de transformación digital que están llevando las redes a la nube, interconectando todo y a todos, y haciendo que el acceso en tiempo real a los datos sea la medida del éxito. Al mismo tiempo, los cibercriminales están buscando nuevas formas de sacar provecho de esta economía. Están desarrollando nuevas herramientas y técnicas para explotar el panorama digital, sus ataques son cada vez más sofisticados y efectivos, y los avances en inteligencia artificial y aprendizaje automático permiten que los ataques se vuelvan autónomos. Pronto, el tiempo requerido entre la detección y la respuesta a una intrusión se medirá en milisegundos.

Las herramientas de seguridad que pueden defender eficazmente contra este nuevo paradigma de amenazas son tan efectivas como la inteligencia de amenazas detrás de ellas.

(*) Michael Xie: Fundador, presidente y CTO de Fortinet