La ciberseguridad no es un problema a escala humana. Los entornos digitales y los requisitos para asegurarlos son demasiado complejos para que los humanos naveguen siempre con éxito, pero eso es justo lo que se necesita. Un atacante sólo tiene que acertar una vez; los defensores tienen que conseguirlo todo el tiempo.
Hay demasiados datos en las organizaciones modernas para que los humanos se mantengan al día y anticipen cada ciberataque. Examinar manualmente todos los registros de seguridad de una organización y redactar detecciones estáticas no funciona, ni es escalable. Los profesionales de la ciberseguridad necesitan aumentar su alcance.
Con la inteligencia artificial (IA) convirtiéndose rápidamente en algo innegociable en los flujos de trabajo de seguridad, la inteligencia artificial explicable (xai) será más importante que nunca, tanto para los ciberprofesionales como para los ejecutivos.
Los profesionales de la ciberseguridad son escépticos por oficio. Para confiar en un sistema con el que trabajan, necesitan entenderlo. La IA y los equipos humanos deben trabajar juntos para defenderse de atacantes cada vez más sofisticados, con una tecnología cada vez más innovadora. Si bien los avances de la IA pueden ayudar a los equipos de seguridad a optimizar su rendimiento, no pueden depender únicamente de algoritmos matemáticos avanzados. Los humanos deben tener agencia y control sobre sus sistemas y entender cómo la IA los afecta.
En ciberseguridad, una caja negra es un sistema que puede verse en términos de entradas y salidas sin conocer su funcionamiento interno. Sin embargo, estos resultados a menudo se producen sin explicación. Siendo la seguridad una prioridad para los consejos de administración de las empresas, los equipos de hoy en día necesitan poder transmitir los impactos esperados de la IA, los sesgos potenciales y las acciones pertinentes.
La XAI invierte esta situación, garantizando que los profesionales de la seguridad puedan comprender las decisiones tomadas por la tecnología. Para crear la confianza necesaria, los humanos deben mantener el control y comprender el proceso de toma de decisiones de un motor de IA. No se trata de entender y cuestionar cada decisión, sino de ser capaz de profundizar en la toma de decisiones cuando sea necesario. Esta capacidad es crucial a la hora de investigar incidentes cibernéticos y evaluar con confianza cómo actuar.
Además, la XAI pone los datos subyacentes a disposición del equipo humano, siempre que sea posible y seguro. Se presentan en prosa común, a menudo también con visualizaciones u otras herramientas. Estos procesos y métodos que permiten a los usuarios humanos comprender y confiar en los resultados y productos creados por el aprendizaje de máquina deben estar a la vanguardia de los Centros de Operaciones de Seguridad (SOC).
Al programar la IA para que explique el porqué de las microdecisiones que toma a diario, los equipos humanos pueden tomar las macrodecisiones que afectan a la empresa en general y que necesitan un contexto humano.
Cuando se combina con una sofisticada detección y respuesta a las amenazas por parte de la IA, el procesamiento del lenguaje natural (NLP) puede ayudar a dar sentido a los datos y “escribir” de forma autónoma informes completos. Estos informes explicarían todo el proceso de ataque paso a paso, desde las primeras etapas hasta la progresión del ataque, pasando por las acciones de respuesta necesarias. En algunos casos, la NLP también puede aplicarse a los marcos existentes, como el comúnmente utilizado marco ATT&CK de MITRE, para ayudar a expresar los hallazgos de una manera que también añade valor incluso a los flujos de trabajo de los analistas de seguridad experimentados.
La NLP puede incluso esbozar las hipótesis de un ciberataque, transmitiendo el “cómo”, además del “qué”. Esto no sólo desglosa las acciones de la detección de amenazas y la respuesta proporcionada de una manera sencilla y digerible, sino que también podría informar a los equipos sobre cómo evitar que estas amenazas se repitan.
Las organizaciones también deben tomar medidas para aprovechar la IA para beneficiar materialmente a los equipos humanos y hacerlos más fuertes, más eficientes y más robustos. Si surgen sesgos o imprecisiones en los algoritmos, las organizaciones deben poder confiar en la XAI para identificar dónde se formaron los sesgos y cómo tomar medidas para mitigarlos (además de comprender los procesos que hay detrás de sus decisiones).
Con esta identificación y optimización, la IA se convierte en una verdadera fuerza para el bien y ayuda a eliminar -en lugar de propagar- los retos y problemas existentes para los equipos humanos en el futuro. Para que los algoritmos de IA refuercen realmente las defensas de seguridad, el ser humano que está detrás de la IA tiene que entender esas decisiones con capacidad de explicación.
Max Heinemeyer, Director de Threat Hunting, Darktrace