La utilización de IA en la caza de ciberatacantes

Desde Barracuda Networks, nos hacen llegar un análisis de los 6 primeros meses en los que su solución Managed XDR ha utilizado la IA para detectar y neutralizar casos de alto riesgo en un gran número de incidentes informáticos. Merium Khalid, Director, SOC Offensive Security en Barracuda, ha destacado la capacidad de la IA para identificar patrones y anomalías en la actividad informática, lo que la convierte en una herramienta poderosa en la detección de amenazas cibernéticas.

IA en la caza de ciberatacantes

En la lucha contra los ciberatacantes, la Inteligencia Artificial (IA) emerge como una herramienta de seguridad de gran eficacia gracias a su capacidad para identificar patrones y modelos de actividad. Este enfoque se vuelve especialmente relevante en ciberseguridad cuando los atacantes intentan acceder a cuentas comprometidas mediante credenciales legítimas.

Durante la primera mitad de 2023, Barracuda Managed XDR empleó análisis basados en IA para detectar y mitigar miles de casos de alto riesgo en una muestra de casi un billón de incidentes informáticos analizados en total. A lo largo de ese periodo se identificaron tres tipos de detecciones de alto riesgo que requieren una acción defensiva inmediata: “impossible travel”, anomalías y comunicación maliciosa:

Tipos de detecciones de alto riesgo

“Impossible travel”

La detección de “impossible travel” ocurre cuando un usuario intenta acceder a una cuenta en la nube desde dos ubicaciones geográficas diferentes de manera rápida y consecutiva, lo cual sería físicamente imposible. Esto podría indicar que el usuario está utilizando una VPN para uno de los inicios de sesión, pero también podría señalar que un atacante ha logrado acceder a la cuenta.

Khalid, ha explicado: “En un incidente investigado por nuestro equipo SOC, un usuario se registró desde su cuenta de Microsoft 365 desde California y, solamente trece minutos después, desde Virginia. Para conseguir esto de manera real se tendría que viajar a una velocidad superior a los 16.000 kilómetros por hora para poder estar en ambos sitios en ese período de tiempo. La IP utilizada para acceder en Virginia no estba asociada a ninguna dirección VPN conocida y el usuario no solía conectarse desde ese lugar. Avisamos al cliente quien confirmó que no había sido un acceso autorizado e inmediatamente restableció las contraseñas y eliminó al usuario fraudulento de todas sus cuentas”

Anomalías

La detección de anomalías se produce cuando los equipos de seguridad identifican actividades inusuales o inesperadas en las cuentas de los usuarios. Esto puede incluir señales como horarios de inicio de sesión extraños, patrones de acceso a archivos poco comunes o una creación excesiva de cuentas para un usuario o una empresa. Estas detecciones pueden indicar una variedad de problemas, como infecciones por malware, amenazas internas o ataques de phishing, entre otros.

Comunicación maliciosa

Por último, la comunicación maliciosa se refiere a las comunicaciones que involucran archivos maliciosos o dañinos. Estos elementos incluyen comunicaciones con direcciones IP, dominios o archivos considerados sospechosos. La detección de comunicaciones maliciosas puede ser una señal de infección por malware o un intento de phishing, y en caso de ocurrir, se debe poner el ordenador en cuarentena de inmediato.

Para concluir, Khalid ha continuado explicando: “Todo el mundo tiene un perfil digital distintivo en términos de cómo, dónde y cuándo trabaja. Si un evento informático se sale de esos parámetros, la detección basada en IA dispara la alerta. Sin embargo, mientras que la IA puede mejorar la seguridad, también puede ser utilizada con fines maliciosos para crear e-mails cada vez más convincentes o adaptar código dañino con objetivos específicos y alterando, por ejemplo, las condiciones de seguridad. Para proteger una compañía y a sus empleados contra tácticas de ataque cada vez más inteligentes y con una mayor rapidez de evolución, se necesita una seguridad detallada y multicapa que incluya medidas sólidas de autentificación; formación periódica de los empleados en materia IT; actualizaciones de software, respaldadas por una visibilidad total y una supervisión continua en
la red; las propias aplicaciones y los ‘endpoints’”.