Entrevista Exclusiva de B&M News, con Eloy Ávila, Director de Tecnología para América, quien nos explicará a fondo todos los detalles del funcionamiento respecto al Cyber AI Analyst.

1079 0

¿Quién es Eloy Ávila?

 Eloy Ávila tiene más de catorce años de experiencia en software empresarial. Antes de Darktrace, Eloy lideró equipos de ingeniería globales en varias compañías de tecnología que cotizan en bolsa, y ha ayudado a diseñar y fabricar vehículos eléctricos ultra eficientes en los Estados Unidos y Australia.

 Como Director de Tecnología de Darktrace para América, Eloy trabaja en estrecha colaboración con el equipo de investigación y desarrollo de la compañía para desarrollar su IA cibernética líder, y supervisa la dirección estratégica de la tecnología para los Estados Unidos, América Latina y Canadá. Eloy es licenciado en Ingeniería Eléctrica por la Universidad de Stanford, California.

DESARROLLO DE ENTREVISTA

  1. Estimado Eloy, gracias por tu tiempo. Platicanos un poco sobre lo que Darktrace hace en materia de ciberdefensa para las empresas.

 La plataforma de IA de Darktrace consiste en dos productos bandera y cuatro módulos de análisis. El Enterprise Immune System comprende el ADN de la compañía a nivel granular y puede detectar amenazas cibernéticas a medida que emergen. Antigena es el primer sistema de respuesta autónomo para defender a los clientes de amenazas a la velocidad de una máquina y utiliza IA para detener los ataques con precisión quirúrgica. Nuestros cuatro módulos de análisis de datos – Email, Cloud, Industrial/IoT, y Network– asegura que el ecosistema digital de las empresas sea seguro.

Hoy, Darktrace tiene más de 3,000 compañías que dependen de su IA cibernética para detectar y detener las amenazas más avanzadas, que constantemente pasan desapercibidas por otras soluciones de seguridad. Trabajamos con compañías de todos los tamaños y en todas las industrias.

  1. ¿Cómo surge la tecnología de Cyber AI Analyst y en qué consiste?

 El objetivo de Darktrace siempre ha sido automatizar el flujo de trabajo de los equipos de seguridad con IA para recuperar tiempo que podría ser muy valioso, lo cual permite a los equipos concentrarse en tareas más estratégicas. Nosotros empezamos con la detección desde un inicio, evolucionamos a la tecnología de respuesta hace aproximadamente 3 años, y nos dimos cuenta de que la investigación es una de las tareas más laboriosas, por lo que empezamos a explorar cómo podíamos utilizar IA para automatizar las investigaciones también.

El Cyber AI Analyst es producto de una iniciativa de investigación del Darktrace Research Center, que combina la intuición del análisis con la consistencia, la velocidad y la adaptabilidad de la IA durante los flujos de trabajo de investigaciones.

El Cyber AI Analyst utiliza una amplia gama de técnicas de aprendizaje: supervisadas, sin supervisión, así como matemáticas avanzadas para llevar a cabo su análisis. Estos clasificadores están capacitados con base en abundantes datos de intuición analista del más alto nivel, que se ha creado en miles de implementaciones durante muchos años al analizar cómo nuestros propios analistas humanos investigan las alertas detectadas por el Enterprise Immune System. El aprendizaje automático no supervisado y las matemáticas avanzadas son aventajadas cuando el AI Analyst está “probando” su hipótesis consultando datos y rondando a través de la red para recoger contexto.

  1. ¿Qué hace a esta nueva tecnología tan rápida y para qué nos ayuda tal velocidad de respuesta?

El Cyber AI Analyst no solo replica las tareas humanas a mayor velocidad, si no que va más allá de lo humano. Aún los mejores analistas de seguridad en el mundo están restringidos por la finitud humana. Se cansan, toman un descanso, trabajan de 9 a 5, deben esperar a que se terminen las consultas, y a veces toman atajos cuando están bajo la presión del tiempo. Además, nuestra realidad actual es tal que el panorama produce cientos y miles de alertas cada día, y todas merecen priorizarse, análisis e investigación y por último algún tipo de respuesta. Este tipo de problemas si no se escalan de manera apropiada, y a medida que los ataques continúen actuando más rápido, serán deficientes a futuro.

La tecnología de Cyber AI Analyst puede exceder esas limitaciones y operar a una velocidad y escala que nadie pudo jamás. Puede echar datos n-dimensionales, generar miles de consultas a la velocidad de la máquina, e investigar todas las cadenas paralelas a la vez para reducir drásticamente ‘el tiempo de respuesta’ en el contexto de un incidente de seguridad. Nosotros aspiramos a condensar el proceso investigativo y la intuición humana experta a una escala automática para asegurar que llegamos continuamente a los incidentes más profundos y significativos, y a una velocidad que se mantiene al día con las alertas y ataques entrantes.

Esta velocidad está habilitada por la IA avanzada y los algoritmos que apuntalan la tecnología.

  1. ¿Cómo fue el proceso de creación de esta tecnología y cuánto duró dicho proceso?

El Cyber AI Analyst fue desarrollado en tres años, además de muchos años de recolección de datos mientras observamos a nuestros expertos humanos.

Durante estos tres años, Darktrace observó cómo nuestros analistas expertos investigaron los eventos de seguridad detectados por el Enterprise Immune System, monitoreando cada clic y paso en su investigación de alertas, con consentimiento. Al acumular este conjunto de datos masivo y recopilarlo con varias formas de aprendizaje automático, hemos sido capaces de crear la primera tecnología cibernética en el mundo que puede replicar esta experiencia en el dominio humano e intuición en las investigaciones.

  1. ¿Qué tan complejo es el funcionamiento de la tecnología de Cyber AI Analyst?

 La operación del Cyber Analyst es bastante sencillo. Un humano no necesita decir a la tecnología cómo clasificar las amenazas, lo que debería buscar, o cómo priorizar los incidentes. El Cyber AI Analyst comprende cómo investigar y priorizar las amenazas debido a sus algoritmos avanzados y a su abundancia de datos de entrenamiento. Trabaja constantemente tras bambalinas, investigando amenazas antes de que surjan por completo los incidentes.

Para un analista, operar el Cyber AI Analyst es tan rápido como dar clic en el botón de la interfaz de usuario de Darktrace, el visualizador de amenazas te permite cambiar de una vista de ‘eventos previos’ a una vista de ‘incidentes posteriores’. Esta es la diferencia entre eventos de seguridad emergentes que pueden servir como puntos de lanza para una investigación o para más buscar otras amenazas, en comparación con los incidentes de seguridad que ya han sido investigados por la máquina y pueden servir de manuales de estrategia para futuras respuestas o soluciones.

  1. ¿Cómo se compara el funcionamiento de Cyber AI Analyst al de un analista humano?

 En pruebas, el Cyber AI Analyst condujo a una disminución del 92% en el tiempo necesario para la clasificación de amenazas. Al ‘clasificar una amenaza’, queremos decir una evaluación inicial de una nueva alerta, cuando un analista de seguridad determina si la alerta forma parte de un incidente más amplio y determina lo más necesario y efectivo para solucionar las amenazas emergentes.

  1. ¿Por qué razón los nanosegundos son importantes cuando se tiene una violación de potencial?

 Considerar el ransomware, una de las variedades de malware más comunes y exitosas de la actualidad. Una razón por la cual es tan efectiva, es debido a la rapidez con la cual puede extenderse a través una empresa y llevar a cabo sus objetivos. Al ransomware solo le toma 35 minutos para encriptar completamente todos de una empresa global. Una vez que el empleado ha sido víctima de phishing o el malware se ha infiltrado el primer dispositivo, un equipo de seguridad solo tiene minutos para identificar y contener el malware antes de que empiece a extenderse a otros dispositivos dentro de la empresa. Este es el momento exacto en que es crítico identificar y detectar los primeros indicadores ransomware, pero es un momento que a menudo se pierde.

Hemos entrado en una era en la que los ataques a velocidad de máquina solo van ser más comunes. Los humanos no pueden mantenerse al día con la velocidad, sigilo, y la escala de los atacantes de hoy. Las empresas deben invertir en tecnologías que ayuden a sus equipos de seguridad a detectar amenazas tan pronto como se presenten los primeros indicadores y que también puedan responder autónomamente a detener un ataque sin dirección del equipo de la seguridad.

  1. ¿Por qué razón los ciberataques se han vuelto más frecuentes y poderosos?

 Los ciberdelincuentes continúan dirigiéndose a las empresas y a los gobiernos en todo el mundo porque hay una motivación financiera para hacerlo. Tanto si la ganancia es el pago de un ataque de ransomware exitoso o la recompensa de un estado-nación que ha empleado a un delincuente para llevar a cabo un ataque cibernético, hay motivaciones poderosas para los adversarios.

La realidad es que los delincuentes lanzan constantemente ataques: intentando infiltrarse en las empresas, robar la propiedad intelectual, y encriptar los datos o denegar el acceso por el rescate. Muchos de estos ataques son detenidos – solo nos enteramos de aquellos que son exitosos. Desafortunadamente, las estrategias y soluciones que muchas empresas tienen implementadas están demostrando ser inadecuadas ante ataques avanzados y nuestras empresas se están volviendo más complejas con más dispositivos y agregando y moviendo datos, a menudo sin mucha visibilidad.

Demasiadas empresas todavía dependen de los enfoques heredados a la seguridad cibernética, ya sea tratando de construir sus defensas perimetrales o centrándose en prevenir ataques históricos. La nube, los dispositivos de IoT, y las cadenas de suministro interconectadas hacen que las defensas perimetrales sean inadecuadas por sí mismas, mientras que las herramientas que miran solo los ataques históricos no logran atrapar nuevos ataques y amenazas internas. Las empresas necesitan reconsiderar su estrategia y buscar soluciones que estén equipadas para encargarse de la realidad dinámica, compleja y acelerada que caracteriza el negocio digital actual y el panorama de las amenazas.

  1. ¿Qué pueden esperar las empresas con la aplicación de esta tecnología y para qué tipo de empresas es útil?

El Cyber AI Anaylst es una de las más de 70 actualizaciones que forman parte del Enterprise Immune System versión 4, una actualización más amplia a la plataforma Darktrace Cyber AI, y se implementará de forma gratuita para todos los clientes actuales de Darktrace como parte de nuestro lanzamiento general. Cada evento de seguridad surgido por el Enterprise Immune System hace que el Cyber AI Analyst inicie una investigación en toda la empresa. Automáticamente une eventos de seguridad sin sentido en un solo incidente, y luego comunica el alcance completo de ese incidente en forma de una narrativa concisa y digerible, que se puede compartir instantáneamente con los más interesados de la organización.

Independientemente del tamaño de una organización, del tamaño de su equipo de seguridad, o de la industria, esta tecnología transformará fundamentalmente la manera en la que los equipos operan día a día y durante un ataque. Investigar amenazas es una tarea increíblemente laboriosa, y con el tiempo ahorrado vía el Cyber AI Analyst, algunas compañías pueden empezar nuevos proyectos, proactivamente renovar sus pólizas de seguridad y de postura, o instituir nuevos entrenamientos. Para otras compañías, el Cyber AI Analyst puede cambiar el perfil de nuevos alquileres, permitiendo a las compañías contratar analistas con menos experiencia.

  1. ¿Llegará un momento en que la ciberseguridad tenga dos pasos más adelante que los ciberataques?

No podremos nunca predecir con exactitud desde dónde podría atacar un delincuente, o cómo sería la próxima amenaza. Sin embargo, existe una ventaja clave que los equipos de seguridad siempre tendrán sobre los atacantes; tiene la capacidad de conocer su negocio mejor que nadie.

Se puede saber exactamente en donde residen todos sus datos, cómo se comportan los datos y los usuarios en la empresa, y puede monitorear y hacer cumplir de manera proactiva la actividad normal. Usted sabe qué datos o áreas de la red son más críticos que otros. Las empresas deberían centrarse en ampliar esta ventaja, centrándose en ampliar visibilidad y detectar comportamientos anormales de la red en sus primeras etapas.

Con una respuesta autónoma habilitada por la IA, las compañías pueden finalmente contraatacar para parar los ataques en tiempo real. Aunque no podríamos siempre estar dos pasos por delante de los ataques cibernéticos, con la estrategia correcta y las tecnológicas en el lugar, las empresas pueden definitivamente recuperar la delantera y estar preparados para responder a los ataques desconocidos de hoy, o de mañana.

 

 

 

Lic. Sandra Sánchez

Contenido Editorial

Business and Marketing News

 

 

Related Post