Pereza, ciberseguridad y aprendizaje automático

Es lo que es: el ser humano es una criatura perezosa. Si es posible evitar hacer algo, no lo hace. Sin embargo, paradójicamente, es algo bueno, porque la pereza es… ¡el motor del progreso! ¿Qué? ¿Cómo es eso? Bien, si un trabajo es considerado muy difícil o complejo para el ser humano, algunos humanos perezosos (¿Homo Perezosos?) ¡le dan el trabajo a una máquina! En ciberseguridad lo llamamos optimización.

Análisis de millones de archivos maliciosos y páginas web al día, desarrollando “vacunas” contra amenazas futuras, mejorando continuamente la protección proactiva, y resolviendo docenas de tareas críticas, todo esto es posible sin el uso de la automatización. Y el aprendizaje automático es uno de los conceptos principales utilizados en la automatización.

El aprendizaje automático ha sido aplicado en la ciberseguridad durante más de una década, pero sin darle publicidad.

La automatización ha existido desde los inicios de la ciberseguridad. Por ejemplo, recuerdo cómo a principios del 2000 escribí un código para que un robot analizara muestras de malware entrante: el robot ponía los archivos detectados en la carpeta correspondiente de nuestra colección de malware basado en el veredicto del robot sobre las características del archivo. Era difícil de imaginar, incluso en ese entonces, ¡cuando solía hacer todo a mano!

Sin embargo, hoy en día, no es suficiente solo darle instrucciones precisas a un robot para hacer las cosas. Las instrucciones para completar tareas deben ser dadas de forma imprecisa. Sí ¡en serio!

Por ejemplo, “ubica los rostros humanos en esta fotografía”. Para esto, no tienes que describir cómo debe seleccionar los rostros y cómo diferenciarlos de los perros. En vez de esto, lo que tienes que hacer es mostrar al robot diferentes fotos y añadir: “Estos son humanos, este es un rostro humano, y estos son perros, ¡ahora hazlo tú solo! Y así, es la “libertad de creatividad” llamada aprendizaje automático.

SourceImage source

AA + CS = Amor

Sin el aprendizaje automático (AA), ningún proveedor de ciberseguridad hubiera sobrevivido a esta década (a menos que la detección la copiaran de otros).

Sin embargo, algunas startups presentan el AA como una representación una nueva revolución en la ciberseguridad (CS), ¿una revolución?, eehm, “están en progreso”. Pero en realidad el AA se ha aplicado en la ciberseguridad por más de una década, solo que sin darle publicidad.

El aprendizaje automático es la disciplina por la que miles de tesis doctorales y libros de texto se han escrito, por lo que es posible que no entre todo en un mismo post de mi blog. Ni en varios posts. Pero, a ver, querido lector, ¿realmente necesitas todos esos detalles técnicos académicos? Claro que no. Así que, te contaré algo que te será de mucho más uso, y que sí entrará en un mismo post: el elemento más jugoso, importante e impresionante del llamado aprendizaje automático, desde la perspectiva de KL.

Cuando se aplican métodos de aprendizaje automático a tareas reales, aparecen muchas dificultades y matices.

Al inicio del “viaje” utilizamos varios modelos matemáticos de automatización solo para necesidades internas: por ejemplo, para la automatización de la estación de trabajo de un analista de malware (escoger las piezas más importantes del flujo de la información), para la centralización (agrupar objetos basados en sus atributos), y para la optimización de las arañas web (que determinan la prioridad y la intensidad de las arañas que pasan a través de millones de URLs basadas en diferentes factores).

Luego se volvió claro que sin la introducción de tales tecnologías en nuestros productos, el flujo de la cibermugre nos hubiera aplastado. Lo que necesitábamos eran robots que pudieran responder de manera rápida y precisa ciertas cuestiones complejas, como : “Hey robot, muéstrame los archivos más sospechosos, los que tú determines basado en estos ejemplos”. O: “Oye robot, mira, así es como se ven los procesadores heurísticos reales, como los que detectan decenas de miles de objetos. Lo que debes hacer es encontrar las características comunes en otras muestras maliciosas, y luego implementar esos procedimientos en ti, solo que con diferentes objetos”.

Pero esperad…

Antes de que penséis que esto es tarea fácil: Cuando se aplican métodos de aprendizaje automático a tareas reales, surgen muchas dificultades y matices. Especialmente en el área de ciberseguridad: el mundo cibernético subterráneo constantemente inventa nuevas clases de ataques, así que no importa qué tan bueno es un modelo matemático, debe ser mejorado constantemente. Y esta es una característica difícil del aprendizaje automático en la ciberseguridad: nosotros trabajamos en un ambiente dinámico y duro en el que el aprendizaje automático se cruza con muchos contraataques dirigidos justo hacia él.

A mediados de los 2000, Kaspersky Lab comenzó a incluir el aprendizaje automático en productos para usuario final

Para empezar, todos estos ataques deben ser encontrados. Claro, la ciberbasura nunca nos envía mercancía para que podamos detectarlos… al contrario: ellos se esfuerzan mucho para esconderse y mantenerse bajo el radar el máximo tiempo posible, para poder seguir teniendo ese ingreso criminal por más tiempo. La búsqueda continua por dichos ataques implica un gasto de trabajo de expertos y el empleo de instrumentos e inteligencia muy complejos.

Luego, el analista debe entrenar a un robot para trabajar correctamente en qué es importante y qué no. Y esto es muuuuuy complicado, con toda clase de rastrillos dispersos en todo el césped, esperando a ser pisados. Un ejemplo: el problema del sobreajuste.

Image sourceImage source

Un ejemplo clásico del sobreajuste es el siguiente: los matemáticos crearon un modelo para reconocer imágenes de vacas usando muchas fotos del animal. ¡Y, sí, el modelo empezó a reconocer a las vacas! Pero, una vez que complicaban la imagen, el modelo no reconocía nada. Así que ellos han tenido que echar un vistazo para saber qué pasaba. Lo que descubrieron fue que el algoritmo se había hecho “muy inteligente” (o algo así), y comenzó a engañarse a sí mismo: ¡se entrenó en el campo verde en las fotos donde las vacas pastaban!

Pero, añadirle “sesos” a la tecnología es muy desafiante; es un largo y arduo camino de pruebas y errores que demanda de una combinación de al menos dos tipos de experiencia en ciencias de información y en ciberseguridad. A mediados de los 2000 acumulamos bastante experiencia en ambos campos, y comenzamos a incluir aprendizaje automático en nuestras tecnologías de “combate” y productos.

Desde entonces, la automatización en nuestros productos ha avanzado a grandes pasos. Se han introducido diferentes enfoques matemáticos en productos y componentes grandes y pequeños a lo largo del espectro: en anti-spam (clasificación de correos electrónicos basados en el nivel de spam); anti-phishing (reconocimiento heurístico de sitios de phishing); en control parental (esconder el contenido indeseable); anti-fraude; protección contra ataques dirigidos; y en monitorización de actividades y más.

No tan rápido, Sr. Smith

Después de leer todo sobre los éxitos del aprendizaje automático, puede surgir la tentación de poner un algoritmo tan inteligente directamente en el ordenador de un cliente y dejarlo ser: ya que el algoritmo es inteligente, dejarlo aprender. Sin embargo, en el aprendizaje automático no hay lugar para un llanero solitario. Aquí está el por qué:

Rendimiento, estabilidad de la protección, y protección propia; las claves contra el aprendizaje automático aislado

En primer lugar, un enfoque así es limitado en términos de rendimiento. El usuario necesita un balance sensible entre calidad de protección y velocidad, y el desarrollo de las tecnologías existentes y adición de nuevas, no importa cuán inteligentes, inevitablemente usarán recursos de sistemas preciados.

En segundo lugar, tal aislamiento, sin actualizaciones ni nuevos materiales de estudio, inevitablemente reduce la calidad de la protección. El algoritmo debe ser enseñado regularmente, hablando sobre tipos de ataques totalmente nuevos; de otra forma, sus habilidades de detección se tornarían anticuadas muy rápidamente.

Por último, una concentración de todas las tecnologías de “combate” en un ordenador, le otorgan a los cibercriminales mayores la posibilidad para estudiar más a detalle la protección y a desarrollar métodos para contraatacar.

Esas son las 3 razones principales, pero existen muchas más.

Entonces, ¿qué se debe hacer?

Es un tanto sencillo: usar las mejores armas, las tecnologías de aprendizaje automático de uso rudo, un poco más sofisticadas que los ordenadores de los usuarios. Para crear un “cerebro remoto”, el cual, basado en la información que se estudia de millones de ordenadores de los clientes, es capaz de reconocer, de manera rápida y exacta, un ataque , y brindar la protección requerida…

Pequeñas y esponjosas nubes

Entonces, hace 10 años creamos KSN (17 patentes y aplicaciones de patentes), el cerebro remoto requerido. KSN es una tecnología de nube con infraestructura conectada a cada ordenador protegido, que apenas usa recursos de terminal e incremente la calidad de la protección.

Esencialmente, KSN es una muñeca rusa: la “nube” contiene muchas otras tecnologías para luchar contra ciberataques. Tambien presenta sistemas de “combate” y modelos experimentales en constant desarrollo. Ya he escrito sobre esto – Astraea (patentes US7640589, US8572740, US7743419), los cuales, desde 2009 han estado analizando automáticamente los eventos de los ordenadores protegidos, para desvelar las amenazas desconocidas. Hoy, Astraea procesa en un día más de mil millones de eventos, además calcula las calificaciones de decenas de millones de objetos.

Aunque las tecnologías de nube han probado su superioridad, también hay sistemas autónomos y aislados a la venta. Estos han logrado un poco de aprendizaje automático preliminary y raramente se actualizan ya que se localizan en el ordenador del cliente. Imaginen.

El 99,9% de las ciberamenazas que analizamos usando algoritmos de infraestructura empoderados por el aprendizaje automático

Pero, esperad.

Las compañías que producen estas soluciones aisladas dicen que, gracias al aprendizaje automático, ellas pueden detectar “la nueva generación de malware” sin actualizaciones regulares. Pero esa detección no le interesa a nadie, ya que protege superficies insignificantes que prometen ganancias insuficientes para los malos (muy pocos usuarios = no hay interés). Algunas veces, quizás ellos detectan una cosa u otra, pero nunca escucharán sobre esto. No es como que hayan descubierto algún mega ataque como Duqu, Flame o Equation.

Ahora nosotros analizamos el 99,9% de las ciberamenazas usando algoritmos de infraestructura alimentada por el aprendizaje automático. La brecha temporal entre el descubrimiento de comportamiento sospechoso en un dispositivo protegido (por ejemplo, protección automática contra explotaciones). Han habido instancias donde, desde el momento de encontrar un objeto sospechoso hasta una actualización, solo han pasado 40 segundos. Esto trajo consigo muchas quejas en foros clandestinos: “¿Cómo lo hacen tan rápido? No podemos mantener el paso”

Resumiendo: una infraestructura de nube + aprendizaje automático = Protección ALTAMENTE efectiva. Incluso antes, a nosotros casi siempre nos iba bien en las pruebas independientes; pero desde que la KSN, nos hemos convertido en el primer lugar indiscutible. Además, hemos mantenido unos niveles muy bajos de falso positivos, y, en cuanto a velocidad, estamos entre los mejores indicadores de la industria.

Vino antiguo vs La cosecha del año pasado

Parece, al menos en este lugar, ¡que se encontró una panacea contra todos los cibermales! Un ligero interceptor de clientes en la terminal, y todo el trabajo rudo hecho en la nube. Pero no. Si a caso alguna vez se presentan problemas de red, la terminal estaría desprotegida. De hecho, las practicas han mostrado que el ambiente ideal para que las tecnologías inteligentes residan es entre los dos extremos, adoptando una combinación de paisajes autónomos y de nube.

También está la idea de que el aprendizaje automático podría tomar el lugar de otros enfoques del paradigma de seguridad total. O, como podría decirse también, poner todos los huevos en una sola canasta.

El aprendizaje automático no es una bala de plata: la mejor protección es una combinación de diferentes tecnologías, en todas las capas, tomando en cuenta todos los vectores de ataque.

Pero… ¿qué pasará cuando los chicos malos entiendan eventualmente como funciona el algoritmo y aprendan como esquivar la protección? Eso significaría que todos los modelos matemáticos necesitarán ser ajustados y actualizados para el dispositivo protegido. Y mientras el modelo está siendo ajustado y la actualización enviada y recibida del usuario permanence solo de frente a un ciberataque sin protección.

La conclusion es obvia: la mejor protección es una combinación de diferentes tecnologías, en todas las capas, tomando en cuenta todos los vectores de ataque. Y, finalmente, lo más importante: el aprendizaje automático es creado por humanos expertos en el análisis de la información y los ciberpeligros. No puedes tener uno sin el otro. Se trata de inteligencia de humáquinas.

Y es un largo proceso de prueba y error que toma muchos años. Es como un vino antiguo, siempre sera mejor que la cosecha anterior, sin importar lo bonita que sea su etiqueta. Quien se establezca en el camino del aprendizaje automático desde antes, tendrá a los expertos con más experiencia, mejores tecnologías, y protección más confiable. Y esa no solo es mi opinión. Está confirmada por pruebas, investigaciones y usuarios.

Bonus Track: O tempora o mores!

El modelo de negocios de algunas empresas emergentes de seguridad informática son claros: “no importa cuanto ganes, importa cuanto vales“. Su objetivo es una ráfaga de actividades de mercadotecnia intensas basadas en provocaciones, manipulaciones y simulaciones, todo esto para reventar burbujas de expectativas.

Si una startup está basada en artimañas, seguramente tendrá claro que sin protección multinivel, sin la aplicación de tecnologías de protección modernas, y sin el desarrollo de su propia experiencia, se encuentra condenada; porque la inversión y el “crédito de confianza” de los usuarios se puede terminar.

Por otra parte, para elaborar un buen producto de seguridad desde cero es complicado, si no es que imposible. Ya que no se necesita tanto dinero como cerebro y tiempo. Aun así, supongo que algunas startups escogieron un inicio pequeño par ir construyendo constantemente.

machine-learning-robots-dilbert

Estoy seguro que tarde o temprano las startups “revolucionarias” comenzarán a introducir tecnologías debidamente probadas que demostrarán su efectividad. Y, lo mejor de las startups jóvenes, es que ellas construirán su experiencia propia, y la acumulación de la misma comenzará a expandir su arsenal de protección a un nivel profesional, ellos demostrarán la correlación con el criterio objetivo de la calidad que se ha adotpado en la verdadera ciberseguridad.

El aprendizaje automático es fundamental para la seguridad informática @e_kaspersky nos cuenta más sobre el temaTweet
LEER COMENTARIOS 0
Deja una nota