Compararando diferentes enfoques de IA en la seguridad del correo

Dan Fein, Director de Productos de Seguridad para Correo Electrónico de Darktrace 

Publicado 08/04/2021

Las innovaciones en inteligencia artificial (IA) han cambiado el panorama de la seguridad del correo electrónico en los últimos años. No obstante, algunos enfoques antiguos siguen estando muy presentes ypuede ser difícil determinar qué los diferencia. Lo cierto es que existe una distinción significativa entre los nuevos enfoques que utilizan ciber IA y los que están basados en firmas y listas negras que pueden determinar si la tecnología proporciona una protección verdadera o simplemente ofrece una noción de ciberseguridad.

 

Firmas – un enfoque del pasado

Durante las últimas décadas, las tecnologías de ciberseguridad han buscado mitigar riesgos al evitar que vuelvan a ocurrir ataques concurrentes. Anteriormente, cuando la vida útil de un determinado malware o la infraestructura de un ataque era de meses o años, este método servía. Pero el enfoque de hoy, el cual mira a ataques pasados para intentar detectar ataques futuros es completamente erróneo. Con la disminución de la vida útil de los ataques, donde ahora un dominio podría utilizarse en un solo correo electrónico y no volver a verse, el enfoque basado en firmas de aspecto histórico debe de ser remplazado ampliamente por sistemas más inteligentes.

 

Entrenando a las máquinas sobre correos malintencionados

El primer enfoque de IA que vemos constantemente implica aprovechar un conjunto de datos extremadamente grande con miles o millones de correos electrónicos. Una vez que estos correos electrónicos llegan, la IA está capacitada para buscar patrones comunes en correos electrónicos maliciosos. Posteriormente, el sistema actualiza sus modelos, el conjunto de reglas y las listas negras en función de esos datos.

Este método ciertamente representa una mejora de las reglas y firmas tradicionales, pero no escapa al hecho de que todavía es reactivo e incapaz para detener la nueva infraestructura de ataque y los nuevos tipos de ataques por correo electrónico. Es simplemente automatizar ese enfoque tradicional deficiente, solo que en lugar de que un humano actualice las reglas y firmas, una máquina es  es la que lo hace..

 

Detectando la intención

Darktrace utiliza este enfoque, el cual funciona de manera atemporal y no es susceptible a cambiar con el tiempo para analizar la gramática y el tono de un correo electrónico con el fin de identificar la intención: haciendo preguntas como "¿Parece esto un intento de inducción? ¿El remitente está tratando de solicitar información confidencial? ¿Es esto extorsión? Al entrenar un sistema en un conjunto de datos extremadamente grande recopilado durante un período de tiempo, puede comenzar a comprender cómo es, por ejemplo, la inducción. Esto le permite detectar fácilmente escenarios futuros de inducción basados ​​en un conjunto común de características.

Entrenar un sistema de esta manera funciona porque, a diferencia de los asuntos de los correos electrónicos de phishing, los patrones fundamentales en el tono y el lenguaje no cambian con el tiempo. Un intento de solicitud es siempre un intento de solicitud y siempre tendrá características comunes. Proporciona una indicación adicional sobre la naturaleza de la amenaza, pero no se utiliza en sí mismo para determinar correos electrónicos anómalos.

 

Identificando las incógnitas desconocidas

Además de utilizar el enfoque anterior para identificar la intención, Darktrace utiliza el machine learning (aprendizaje de máquina) no supervisado, que comienza con la extracción y extrapolación de miles de datos de cada correo electrónico. Algunos de estos se toman directamente del correo electrónico en sí, mientras que otros solo se pueden determinar mediante el análisis del tipo de intención anterior. También se obtienen conocimientos adicionales al observar los correos en el contexto más amplio de todos los datos disponibles en el correo electrónico, la red y el entorno de nube de la organización.

Solo después de tener un conjunto de indicadores significativamente más grande y completo, con una descripción integral de ese correo electrónico, se pueden introducir los datos en un motor de machine learning para comenzar a cuestionar los datos de millones de formas con el fin de comprender si corresponde, dado el contexto más amplio del típico "patrón de vida" de la organización.

La tecnología identifica patrones en toda una organización y adquiere un sentido de "yo" en continua evolución a medida que la organización crece y cambia. Es esta comprensión innata de lo que es y no es "normal" lo que permite a la IA detectar las "incógnitas desconocidas" en lugar de solo "nuevas variaciones de los males conocidos".

Es claro que los enfoques antiguos, basados en firmas y reglas no son suficientes para contrarrestar las amenazas que existen contra el correo electrónico. Por lo tanto, solo un enfoque de ciber Inteligencia Artificial, con distintas capas de seguridad en donde se analicen la intención y tono de los correos, información compleja del mismo como el servidor desde donde fue enviado, entre otras cosas, puede combatir las numerosas amenazas,. La gran ventaja de la ciber IA es que aprende de manera continua a partir de los datos y actividad en tiempo real, lo que le permite realizar millones de cálculos y así asegurar que el correo electrónico se encuentra protegido.