PatternEx combina la experiencia humana y de máquinas para detectar y responder a los ataques.
Ser analista de ciberseguridad en una gran empresa hoy en día es un poco como buscar una aguja en un pajar, si ese pajar se precipitara hacia ti a la velocidad de la fibra óptica.
Todos los días, los empleados y clientes generan una gran cantidad de datos que establecen un conjunto normal de comportamientos. Un atacante también generará datos mientras usa cualquier número de técnicas para infiltrarse en el sistema; el objetivo es encontrar esa «aguja» y detenerla antes de que cause algún daño.
La naturaleza pesada de datos de esa tarea se presta bien a la destreza de procesamiento de números del aprendizaje automático, y una afluencia de sistemas impulsados por IA de hecho ha inundado el mercado de la seguridad cibernética a lo largo de los años. Pero tales sistemas pueden tener sus propios problemas, a saber, un flujo interminable de falsos positivos que pueden hacer que sean más una pérdida de tiempo que un ahorro de tiempo para los analistas de seguridad.
La startup PatternEx del MIT parte de la suposición de que los algoritmos no pueden proteger un sistema por sí solos. La empresa ha desarrollado un enfoque de ciclo cerrado mediante el cual los modelos de aprendizaje automático señalan posibles ataques y los expertos humanos brindan retroalimentación. Luego, la retroalimentación se incorpora a los modelos, mejorando su capacidad para marcar solo la actividad que a los analistas les interesa en el futuro.
“La mayoría de los sistemas de aprendizaje automático en ciberseguridad han estado realizando detección de anomalías”, dice Kalyan Veeramachaneni, cofundador de PatternEx y científico investigador principal del MIT. “El problema con eso, primero, es que necesitas una referencia [de actividad normal]. Además, el modelo generalmente no está supervisado, por lo que termina mostrando muchas alertas y la gente termina cerrándolo. La gran diferencia es que PatternEx le permite al analista informar al sistema y luego usa esa retroalimentación para filtrar los falsos positivos”.
El resultado es un aumento en la productividad de los analistas. En comparación con un programa de software de detección de anomalías genérico, la plataforma de analista virtual de PatternEx identificó con éxito 10 veces más amenazas a través de la misma cantidad de alertas diarias, y su ventaja persistió incluso cuando el sistema genérico les dio a los analistas cinco veces más alertas por día.
Implementado por primera vez en 2016, hoy el sistema de la compañía está siendo utilizado por analistas de seguridad en grandes empresas en una variedad de industrias junto con firmas que ofrecen ciberseguridad como servicio.
que las personas utilicen el aprendizaje automático como parte de una tendencia más amplia en la industria hacia lo que Veeramachaneni llama la democratización de la IA.
“No hay suficiente tiempo en ciberseguridad; no puede tomar horas o incluso días entender por qué ocurre un ataque”, dice Veeramachaneni. “Es por eso que lograr que el analista tenga la capacidad de crear y modificar modelos de aprendizaje automático es el aspecto más crítico de nuestro sistema”.
Dar a los analistas de seguridad un ejército
La plataforma de analista virtual de PatternEx está diseñada para hacer que los analistas de seguridad sientan que tienen un ejército de asistentes que revisan los registros de datos y les presentan el comportamiento más sospechoso en su red.
La plataforma utiliza modelos de aprendizaje automático para analizar más de 50 flujos de datos e identificar comportamientos sospechosos. Luego presenta esa información al analista para recibir comentarios, junto con gráficos y otras visualizaciones de datos que ayudan al analista a decidir cómo proceder. Una vez que el analista determina si el comportamiento es un ataque o no, esa retroalimentación se vuelve a incorporar a los modelos, que se actualizan en toda la base de clientes de PatternEx.
«Antes del aprendizaje automático, alguien detectaba un ataque, probablemente un poco tarde, podría nombrarlo y luego lo anunciaría, y todas las demás compañías llamarían y se enterarían y entrarían y verificarían sus datos». Veeramachaneni dice. “Para nosotros, si hay un ataque, tomamos esos datos y, como tenemos varios clientes, tenemos que transferirlos en tiempo real a los datos de otros clientes para ver si les está pasando a ellos también. Lo hacemos de manera muy eficiente a diario”.
En el momento en que el sistema está en funcionamiento con nuevos clientes, puede identificar 40 tipos diferentes de ataques cibernéticos utilizando 170 modelos de aprendizaje automático preempaquetados diferentes. Arnaldo señala que a medida que la empresa trabaja para hacer crecer esas cifras, los clientes también se suman a la base de modelos de PatternEx mediante la creación de soluciones en la plataforma que abordan las amenazas específicas a las que se enfrentan.
Incluso si los clientes no están creando sus propios modelos en la plataforma, pueden implementar el sistema de PatternEx listo para usar, sin ninguna experiencia en aprendizaje automático, y ver cómo se vuelve más inteligente automáticamente.
Al brindar esa flexibilidad, PatternEx brinda las últimas herramientas en inteligencia artificial a las personas que entienden sus industrias más íntimamente. Todo se remonta al principio fundamental de la empresa de empoderar a los humanos con inteligencia artificial en lugar de reemplazarlos.
“Los usuarios objetivo del sistema no son científicos de datos calificados o expertos en aprendizaje automático (perfiles que son difíciles de contratar para los equipos de seguridad cibernética), sino expertos en dominios que ya están en su nómina y que tienen la comprensión más profunda de sus datos y casos de uso”, dice Arnaldo. .