Tecnología de IA de Fujitsu que determina el grado de respuesta ante ciberataques

Tecnología de IA de Fujitsu que determina el grado de respuesta ante ciberataques

Determinar automáticamente cómo, cuándo y qué medidas deben aplicarse a la hora de responder adecuadamente a un ciberataque, es el objetivo de la aplicación de inteligencia artificial (IA) recientemente desarrollada y puesta a punto por Fujitsu Laboratories Ltd. Pese a que aún no termina de estar en el mercado, se trata evidentemente de un formidable paso en el mundo de la ciberseguridad.

Cuando una red empresarial se ve afectada por un ciberataque, entran en función diversos dispositivos de seguridad, que, tras detectar los síntomas de la agresión a servidores y dispositivos del sistema, precisan normalmente la ayuda de un experto en análisis de ataques para que investigue manualmente y verifique su grado de amenaza, ya que es necesario determinar si se necesita o no una acción específica que minimice el daño, sin olvidar que investigación y comprobaciones exigen tiempo.

Por ello y con el fin de asegurar los training data necesarios para desarrollar la tecnología de IA de alta precisión, Fujitsu Laboratories ha creado esta aplicación que identifica y extrae registros de ataques que revelan el comportamiento del ciberataque, partiendo de enormes cantidades de registros de operaciones. Al mismo tiempo ha desarrollado una tecnología que amplía la pequeña cantidad de training data extraídos de manera que no deteriore las características de ataque, lo que genera una cantidad suficiente de éstos.

Tecnología de IA de Fujitsu que determina el grado de respuesta ante ciberataques

Las simulaciones utilizadas por estas tecnologías lograron una tasa de coincidencia en torno al 95% en comparación con las conclusiones que los expertos calculaban respecto a la necesidad de acción, sin dejar de responder exitosamente a cualquier situación de ataque que requiriese respuesta. Conviene subrayar que el tiempo necesario para llegar a una conclusión también se redujo, de varias horas a varios minutos. Así entonces y mediante la aplicación de estas tecnologías, se pueden implementar con rapidez contramedidas para los ciberataques, permitiendo la continuidad del negocio y la prevención de pérdidas.

Con estas tecnologías de IA, las conclusiones derivadas de la necesidad de acción, que hasta ahora han exigido a un experto de varias horas hasta varios días, pueden realizarse automáticamente con gran precisión, desde decenas de segundos hasta varios minutos. Además, al combinar estas tecnologías con la tecnología forense de alta velocidad de Fujitsu Laboratories, que analiza rápidamente la imagen completa del estado del daño de un ataque dirigido, la secuencia de respuesta, desde el análisis del ataque hasta las instrucciones para la acción, se puede automatizar, lo que permite dar inmediata respuesta a los ciberataques y minimizar el daño.

Fujitsu Laboratories combinó las tecnologías recientemente desarrolladas con su propia tecnología de IA Deep Tensor, realizando pruebas evaluativas en el modelo de determinación desarrollado en los nuevos training data. Ejecutó en una simulación con aproximadamente cuatro meses de datos (12.000 elementos). Las tecnologías hicieron una coincidencia aproximada del 95% frente a los hallazgos que un experto en seguridad generó a través de un análisis manual, logrando una determinación casi igual de la necesidad de respuesta. Además, las tecnologías se probaron en el campo en STARDUST, la plataforma de captación de ciberataques (*) que opera conjuntamente con el Instituto Nacional de Tecnología de la Información y las Comunicaciones (NICT) japonés, utilizando ciberataques reales dirigidos a empresas. Las tecnologías determinaron automáticamente los casos de ataque que exigen respuesta, confirmando así su efectividad.

Fujitsu ha desarrollado una tecnología de IA para determinar automáticamente si se deben tomar medidas en respuesta a un ciberataque

Ahora bien, al desarrollar un modelo basado en IA para realizar determinadas acciones, se han tenido en cuenta los siguientes problemas relacionados con la capacitación en información de ataques:

    1. Los registros de operaciones para servidores, dispositivos y equipos de red que funcionan normalmente, coexisten con los registros de operaciones de ataque y acumulando gran cantidad de ambos. Para un aprendizaje adecuado con la IA, es necesario identificar entre gran cantidad de registros, los rastros de ataques dirigidos. Sin embargo no es fácil distinguir entre estos, ya que las actividades de inteligencia a través de ataques dirigidos utilizan comandos del sistema operativo y otros métodos.
    1. Resulta extremadamente difícil extraer registros de operaciones de ataque entre las enormes cantidades de registros existentes, a la vez que se obtienen grandes cantidades de elementos como training data. Para las tecnologías de IA, es posible aumentar las pequeñas cantidades de training data a través de procedimientos y conversiones como el procesamiento del ruido; sin embargo, un procesamiento tan simple de los training data de los ataques dirigidos, puede causar la pérdida de las características del ataque, lo que dificulta la expansión de los datos. Los detalles de estas tecnologías fueron anunciados durante el 36º Simposio sobre Criptografía y Seguridad de la Información (SCIS 2019), que tuvo lugar del 22 al 25 de enero en la ciudad de Otsu, Japón.

En cuando al panorama general de los últimos años, el número de ciberataques contra redes empresariales continúa aumentando. Con ataques dirigidos, donde el atacante utiliza técnicas inteligentes para incrustar malware, que puede controlar de forma remota en una organización y también los dispositivos infectados con éste para realizar actividades de inteligencia. Para defenderse, cuando la empresa descubre actividades sospechosas con un equipo de monitoreo como un appliance de seguridad, un experto en seguridad investiga manualmente el ataque y lleva tiempo evaluar el peligro y el riesgo, determinando posteriormente la necesidad de responder.

La decisión de actuar debe tomarse con cuidado ya que puede tener consecuencias. Por ejemplo, es posible que los dispositivos empresariales atacados deban estar aislados y la red reconstruida, lo que provoca la detención de la operación, afectando al negocio. Según las estadísticas del Ministerio de Economía, Comercio e Industria de Japón, en 2020 habrá una escasez de 193,000 profesionales de seguridad en aquel país. Se espera que la automatización basada en la IA determine rápidamente la necesidad de responder a los casos de ataque, tomando decisiones al mismo nivel que un experto que tiene conocimientos y opiniones avanzadas sobre los ataques.

DATOS PARA UN INFORME

Acerca de la tecnología desarrollada recientemente

Fujitsu Laboratories ha desarrollado tecnologías para asegurar cantidades suficientes de training data relacionada con ataques dirigidos, necesarios para la creación de modelos de determinación de IA altamente precisos. Las características de las tecnologías desarrolladas son:

    1. Formación en tecnología de extracción de datos. Basado en su conocimiento acumulado en sus investigaciones y negocios de seguridad, además de sus siete años de trabajo con los datos de análisis de ataques, Fujitsu Laboratories ha puesto a punto una base de datos de patrones de ataque que incluye comandos y parámetros relacionados con la inteligencia de actividades de ataques dirigidos. Al utilizar esta base de datos, los usuarios pueden identificar y extraer con precisión una serie de actividades de inteligencia ante las vastas cantidades de registros. 
    1. Formación en tecnología de expansión de datos. Esta tecnología genera simulaciones de nuevas actividades de recopilación de inteligencia, un tipo de ataque dirigido, sin perder las características del ataque. Además calcula los niveles de ataque e identifica los comandos importantes de las actividades de inteligencia en el ataque extraído y dirigido, para luego convertir los parámetros dentro del rango existente en una base de datos del patrón de ataque. Como resultado, es posible ampliar los training data cuatro veces. Fujitsu pretende hacer uso de estas tecnologías dentro de sus Servicios de seguridad gestionados, como una plataforma de respuesta para ciberataques.

(*) STARDUST. Plataforma de incitación a ataques cibernéticos. Al atraer a los atacantes a un entorno que simula elaboradamente organizaciones como el gobierno y corporaciones, y observar a largo plazo las actividades de los atacantes sin que se den cuenta, la plataforma pretende revelar el comportamiento detallado de los atacantes una vez que han penetrado en una organización, para recopilar Información necesaria para establecer contramedidas y respuestas de ciberataques.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.