La rara forma de aprendizaje automático que puede detectar a los piratas informáticos que ya han entrado

Imagen de la interfaz de la plataforma informática Darktrace.

Imagen de la interfaz de la plataforma informática Darktrace. trazo oscuro





En 2013, un grupo de agentes de inteligencia británicos notó algo extraño. Si bien la mayoría de los esfuerzos para proteger la infraestructura digital se centraron en bloquear la entrada de los malos, pocos se centraron en lo contrario: evitar que filtraran información. Basado en esa idea, el grupo fundó una nueva empresa de ciberseguridad llamada Darktrace.

La firma se asoció con matemáticos de la Universidad de Cambridge para desarrollar una herramienta que utilizaría el aprendizaje automático para detectar infracciones internas. Sin embargo, en lugar de entrenar los algoritmos en ejemplos históricos de ataques, necesitaban una forma para que el sistema reconociera nuevas instancias de comportamiento anómalo. Recurrieron al aprendizaje no supervisado, una técnica basada en un tipo raro de algoritmo de aprendizaje automático que no requiere que los humanos especifiquen qué buscar.

Imagen de la interfaz de la plataforma informática Darktrace.

Darktrace se ha centrado en un dispositivo infectado que muestra un comportamiento anómalo. trazo oscuro



'Es muy parecido al propio sistema inmunitario del cuerpo humano', dice la codirectora ejecutiva de la empresa, Nicole Eagan. 'Tan complejo como es, tiene este sentido innato de lo que es uno mismo y lo que no es uno mismo. Y cuando encuentra algo que no pertenece, que no es uno mismo, tiene una respuesta extremadamente precisa y rápida.

La gran mayoría de las aplicaciones de aprendizaje automático se basan en el aprendizaje supervisado. Esto implica alimentar una máquina con cantidades masivas de datos cuidadosamente etiquetados para entrenarla para que reconozca un patrón estrechamente definido. Digamos que quiere que su máquina reconozca a los golden retrievers. Lo alimentas con cientos o miles de imágenes de golden retrievers y de cosas que no lo son, mientras le dices explícitamente cuáles son cuáles. Eventualmente, terminas con una máquina de detección de golden retriever bastante decente.

En ciberseguridad, el aprendizaje supervisado funciona bastante bien. Entrenas a una máquina en los diferentes tipos de amenazas que tu sistema ha enfrentado antes, y las persigue sin descanso.



Pero hay dos problemas principales. Por un lado, solo funciona con amenazas conocidas; amenazas desconocidas aún se cuelan bajo el radar. Por otro lado, los algoritmos de aprendizaje supervisado funcionan mejor con conjuntos de datos equilibrados; en otras palabras, aquellos que tienen la misma cantidad de ejemplos de lo que está buscando y lo que puede ignorar. Los datos de ciberseguridad están muy desequilibrados: hay muy pocos ejemplos de comportamiento amenazante enterrados en una abrumadora cantidad de comportamiento normal.

Imagen de la interfaz de la plataforma informática Darktrace.

Una visualización de todas las conexiones dentro de una subred particular. trazo oscuro

Afortunadamente, donde falla el aprendizaje supervisado, sobresale el aprendizaje no supervisado. Este último puede mirar cantidades masivas de datos sin etiquetar y encontrar las piezas que no siguen el patrón típico. Como resultado, puede hacer surgir amenazas que un sistema nunca antes había visto y necesita pocos puntos de datos anómalos para hacerlo.



Cuando Darktrace implementa su software, configura sensores físicos y digitales alrededor de la red del cliente para mapear su actividad. Esos datos sin procesar se canalizan a más de 60 algoritmos diferentes de aprendizaje no supervisado que compiten entre sí para encontrar comportamientos anómalos.

UN ESPACIO SIN SUPERVISIÓN

  • Varias otras empresas también han convergido en el uso del aprendizaje no supervisado para mejorar los sistemas de seguridad digital.

  • Seguridad de la forma

    Fundado en 2011 por ex expertos en defensa del Pentágono, se enfoca en prevenir la generación de cuentas falsas o el fraude en las solicitudes de crédito, entre otras actividades nefastas. Shape Security combina las fortalezas complementarias de las técnicas supervisadas y no supervisadas.



  • visor de datos

    Fundada en 2013 por exalumnos de Microsoft, se asocia con bancos, redes sociales y empresas de comercio electrónico para luchar contra el fraude en las transacciones, el lavado de dinero y otros abusos a gran escala. DataVisor dice que utiliza principalmente técnicas no supervisadas.

Esos algoritmos luego escupen su salida en otro algoritmo maestro que usa varios métodos estadísticos para determinar cuál de los 60 escuchar y cuál ignorar. Toda esa complejidad se empaqueta en una visualización final que permite a los operadores humanos ver y responder rápidamente a posibles infracciones. A medida que los humanos deciden qué hacer a continuación, el sistema trabaja para poner en cuarentena la brecha hasta que se resuelva, cortando toda comunicación externa del dispositivo infectado, por ejemplo.

Sin embargo, el aprendizaje no supervisado no es una panacea. A medida que los atacantes se vuelven más y más sofisticados, mejoran para engañar a las máquinas, independientemente del tipo de aprendizaje automático que utilicen. 'Existe este juego del gato y el ratón en el que los atacantes pueden intentar cambiar su comportamiento', dice Dawn Song, experta en ciberseguridad y aprendizaje automático de la Universidad de California, Berkeley.

En respuesta, la comunidad de seguridad cibernética ha recurrido a enfoques proactivos: 'mejores arquitecturas y principios de seguridad para que el sistema sea más seguro por construcción', dice. Pero todavía queda un largo camino para erradicar por completo todas las infracciones y prácticas fraudulentas. Después de todo, añade, 'todo el sistema es tan seguro como su eslabón más débil'.

esconder