Machine Learning no es nada nuevo; el sistema BIG-IP ASM de F5 ha estado aprendiendo durante más de una década

Ciudad de México, 28 de mayo de 2020.

Uno de los principales temas de tendencias en tecnología es cómo utilizar la inteligencia artificial (IA) y el machine learning (ML) para resolver problemas en diversas tecnologías. Lo principal entre las tecnologías es la seguridad de las aplicaciones (AppSec).

AI y ML están preparados para solucionar la mayoría de los problemas que ocurren en AppSec. Específicamente, se están desarrollando algoritmos ML de red neuronal recurrente de aprendizaje profundo avanzado para mejorar drásticamente la precisión de la detección de amenazas.

AI y ML predicen los ataques (incluidos los ataques de día cero) y detienen los ataques antes de que lleguen a sus aplicaciones. En pocas palabras, ML consiste en entrenar el sistema (la parte de aprendizaje de ML) para, por sí solo, detecte un ataque y no dependa de firmas preconfiguradas o lógica basada en anomalías para detectar el ataque.

La premisa fundamental es simple: el sistema (máquina) está expuesto a conjuntos de datos y aprende a detectar amenazas del tráfico legítimo.

El aprendizaje de aplicaciones no es ML, pero la premisa es la misma

Durante muchos años, el sistema BIG-IP ASM ha tenido un motor de aprendizaje (tráfico de aprendizaje). Al igual que la premisa fundamental de ML, la premisa del motor de aprendizaje BIG-IP ASM es simple: aprende del tráfico de la aplicación para crear o refinar automáticamente una política de seguridad que detecte amenazas. Este método reduce significativamente la complejidad y el número de firmas que debe configurar manualmente. Esta funcionalidad a veces se denomina Aprendizaje Adaptativo o Aprendizaje de Aplicaciones.

El juego de aprendizaje BIG-IP ASM

El motor de aprendizaje BIG-IP ASM examina el tráfico web de entrada y salida y aprende de manera inteligente el comportamiento previsto de la aplicación. Ese aprendizaje alimenta el Creador de Políticas BIG-IP ASM, que puede configurar automáticamente los controles de seguridad necesarios para proteger su aplicación. Cuando se utiliza el aprendizaje automático, el sistema aprende continuamente a medida que se procesa el tráfico y puede sugerir nuevos controles de seguridad a medida que evoluciona el diseño o el uso de la aplicación.

Áreas donde AI y ML elevan el juego de aprendizaje

Tener el conjunto de datos adecuado, aprender fuera de línea y proteger el aprendizaje son esenciales para detectar amenazas y detener ataques.

El problema del conjunto de datos

Aprender en AppSec requiere del conjunto de datos correcto (que consta de tráfico legítimo y amenazas). Debido a la naturaleza del desarrollo de aplicaciones (el ciclo de lanzamiento más corto) y la naturaleza dinámica de las amenazas, AI y ML pueden mejorar la calidad del conjunto de datos en términos de alcance, contexto y período de retención (la ventana de tiempo antes de que deje de analizar un conjunto de datos en particular).

Detección fuera de línea

La detección fuera de línea (opuesta a la detección en tiempo real) se refiere al proceso de análisis y aprendizaje de un conjunto de datos fuera del tráfico de producción. AI y ML pueden aprender de un gran grupo de conjunto de datos: tráfico de Internet, sistemas honeypot y sitios asociados.  AI y ML también pueden detectar anomalías que identifican ataques. Los controles de seguridad pueden, por lo tanto, desarrollarse e implementarse de manera proactiva en su WAF.

Asegurando el motor de aprendizaje

Otra cosa que AI y ML abordan es proteger el aprendizaje en sí mismo. Si los atacantes pudieran engañar o influir en la forma en que opera el sistema basado en ML, podrían anular la propuesta central de los sistemas de seguridad basados en IA y ML, que es predecir y detener los ataques antes de que lleguen a sus aplicaciones.

En general, los avances en IA y ML han potenciado exponencialmente el aprendizaje al abordar el problema del conjunto de datos y proteger el motor de aprendizaje. Estos avances permiten a los sistemas AI y ML mejorar la velocidad y la precisión de la detección de amenazas (incluidos los ataques de día cero) al tiempo que reducen significativamente la tasa de falsos positivos.

Contactos editoriales: IDESA. Patricia Tawil, ptawil@idesap.com 51090594, Vanessa Olivieri, vanessaodv@hotmail.com