Behavioral Analytics – Intel·ligència Artificial per la modelització del comportament de les entitats en xarxa

Escrit per Albert Calvo  – Research Engineer en Intel·ligència Artificial a la Fundació i2cat 

Fins a l’actualitat, els models de seguretat envers incidents i amenaces en xarxa es basen a afegir diferents capes de seguretat a la infraestructura. El símil, el trobem amb les defenses d’un castell; on les muralles, com més altes millor, permeten la defensa de les relíquies. Tot i que, les fortificacions monolítiques en entorns digitals han sigut una forma efectiva de defensa contra frau i amenaces digitals; L’actual entorn, complex, hiperconnectat i amb creixement exponencial fa que les tasques de protecció, detecció i resposta extremadament difícils: l’expert en ciberseguretat ha de monitorar un elevat nombre d’entitats que generen grans quantitats de dades per minut.

Si analitzem el món dels ciberatacs, ens trobem un escenari d’organitzacions professionalitzades i també amb creixement exponencial.  De fet, els ciberatacs ja són una notícia recurrent arreu del món, segons fonts del centre d’intel·ligència d’Estats Units, el nombre d’atacs durant l’any 2021 va augmentar fins a un 150% respecte a l’any passat sent petites i mitjanes empreses l’objectiu principal dels ciberdelinqüents. Entre els atacs que més afecten empreses i institucions trobem atacs de pesca electrònica (Phishing), on els grups criminals suplanten la identitat per aconseguir informació confidencial de l’usuari. Atacs de Ransomware basats a xifrar dades i segrestar dispositius amb la finalitat de demanar recompenses. Finalment, atacs de denegació de servei (Denial of Service) basats a col·lapsar els recursos de servidors inhabilitant els serveis que aquest pugui oferir.

En els darrers anys, la Intel·ligència Artificial (IA) ha esdevingut un gran aliat en la lluita del frau i les ciberamenaces en el món digital donat les capacitats per optimitzar i automatizar les tasques dels serveis de resposta a incidents. Fins a l’actualitat, les tècniques de IA han estat basades en la detecció reactiva d’amenaces, es determinen els patrons d’’atac per detectar atacs futurs, com per exemple en els sistemes IPS on s’entrenen sistemes experts per filtrar tràfic potencialment perillós. Tot i l’efectivitat dels sistemes reactius aquests deixen fora el principal factor de les ciberamenaces: El factor humà.  En aquesta línia, la recerca en tècniques centrades en l’usuari han pres rellevància en els últims anys; Les tècniques de User and Entity Behavior Analytics (UEBA), on a través de la IA s’analitza el comportament de l’usuari  per oferir capacitats tant reactives com predictives envers atacs latents.

Aquestes tècniques es basen a estudiar el comportament passat, present i futur de les interaccions dels usuaris i entitats d’una xarxa, permeten determinar el comportament normal i/o esperat de les entitats d’una corporació i tota desviació en aquest comportament s’analitza a través d’algoritmes de IA per cercar i determinar patrons o comportament anòmals, fruit de ciberatacs. El principal avantatge d’aquest tipus de tècniques, en comparació amb aquelles purament reactives és la flexibilitat en la identificació agnòstica d’amenaces, capaç de detectar diferent tipus d’atacs incloent zero-days i la detecció primerenca d’amenaces: la detecció en els canvis de comportament permeten detectar les primeres etapes del vector d’atac.

La tendència a futur és que les ciberamenaces seguiran amb creixement exponencial. Viurem més d’atacs, més diversos i afectant institucions i entitat fins ara inimaginables. Per fer front a l’escenari previst les tècniques de UEBA, anteriorment descrites, esdevindran un punt clau per la prevenció agnòstica d’amenaces ajudant a construir entorns digitals ciber-segurs.

En detall, les tècniques de UEBA, permeten modelitzar el comportament de l’usuari a partir de l’anàlisi en dues dimensions: component històrica i de grup. En la primera component mitjançant tècniques d’intel·ligència artificial es permet perfilar l’usuari i conèixer quins patrons determinen el seu comportament; utilitzant per exemple tècniques d’IA com descomposició en factors singulars, clustering o tècniques estat de l’art basades en l’aprenentatge profund (Deep Learning). D’altra banda, la segona dimensió recau en comparar de forma sistemàtica les entitats de la xarxa permeten determinar canvis de comportament o anomalies, en aquesta dimensió igual que en el cas anterior existeix un ampli ventall de tècniques, sent les tècniques de clustering les preferides. En aquesta línia, el projecte capdavanter en tècniques UEBA, anomenat OpenUEBA desenvolupat per i2cat, busca determinar el comportament dels usuaris amb l’objectiu de calcular l’exposició davant amenaces específiques, ajudant a l’analista a centrar els seus esforços en aquells usuaris amb patrons de risc que el fan més propensos a ser afectats per una amenaça especifica.

Referències

• https://media.kaspersky.com/es/business-security/enterprise/Human%20factor_main%20threats_final_ES.pdf
• https://ciberseguridad.blog/ueba-user-and-entity-behavior-analytics-deteccion-por-comportamiento/
• https://blog.conzultek.com/ciberseguridad/inteligencia-artificial-en-la-ciberseguridad
• https://tdacyber.cat/

Publicat a CIDAI