La inteligencia artificial (IA) ha estado en juego en la ciberseguridad durante varios años, pero la amplia adopción de los modelos de lenguajes grandes (LLM) hizo de 2023 un año especialmente emocionante. De hecho, los LLM ya han comenzado a transformar todo el panorama de la ciberseguridad. Sin embargo, también está generando desafíos sin precedentes.
Por un lado, los LLM facilitan el procesamiento de grandes cantidades de información y permiten que todos aprovechen la IA. Pueden proporcionar una enorme eficiencia, inteligencia y escalabilidad para gestionar vulnerabilidades, prevenir ataques, gestionar alertas y responder a incidentes.
Por otro lado, los adversarios también pueden aprovechar los LLM para hacer que los ataques sean más eficientes, explotar vulnerabilidades adicionales introducidas por los LLM, y el uso indebido de los LLM puede crear más problemas de ciberseguridad, como la fuga involuntaria de datos debido al uso ubicuo de la IA.
La implementación de LLM requiere una nueva forma de pensar sobre la ciberseguridad. Es mucho más dinámico, interactivo y personalizado. Durante la época de los productos de hardware, el hardware solo se cambiaba cuando era reemplazado por la siguiente nueva versión de hardware. En la era de la nube, el software se podía actualizar y los datos de los clientes se recopilaban y analizaban para mejorar la siguiente versión del software, pero sólo cuando se lanzaba una nueva versión o parche.
Ahora, en la nueva era de la IA, el modelo utilizado por los clientes tiene su propia inteligencia, puede seguir aprendiendo y cambiar según el uso del cliente, ya sea para servir mejor a los clientes o para orientarse en la dirección equivocada. Por lo tanto, no solo necesitamos crear seguridad en el diseño (asegurarnos de crear modelos seguros y evitar que los datos de capacitación sean envenenados), sino también continuar evaluando y monitoreando los sistemas LLM después de su implementación para garantizar su seguridad y ética.
Lo más importante es que necesitamos tener inteligencia incorporada en nuestros sistemas de seguridad (como inculcar estándares morales correctos en los niños en lugar de simplemente regular sus comportamientos) para que puedan adaptarse y tomar decisiones correctas y sólidas sin desviarse fácilmente por malas entradas.
¿Qué han aportado los LLM a la ciberseguridad, para bien o para mal? Compartiré lo que aprendimos el año pasado y mis predicciones para 2024.
Mirando hacia atrás en 2023
cuando escribi El futuro del aprendizaje automático en ciberseguridad Hace un año (antes de la era LLM), señalé tres desafíos únicos para la IA en ciberseguridad: precisión, escasez de datos y falta de verdad sobre el terreno, así como tres desafíos comunes de la IA, pero más severos en ciberseguridad: explicabilidad, escasez de talento, y seguridad de la IA.
Ahora, un año después, después de muchas exploraciones, identificamos la gran ayuda de los LLM en cuatro de estas seis áreas: escasez de datos, falta de verdad sobre el terreno, explicabilidad y escasez de talento. Las otras dos áreas, precisión y seguridad de la IA, son extremadamente críticas pero siguen siendo un gran desafío.
Resumo las mayores ventajas de utilizar LLM en ciberseguridad en dos áreas:
1. Datos
Datos etiquetados
El uso de LLM nos ha ayudado a superar el desafío de no tener suficientes «datos etiquetados».
Se necesitan datos etiquetados de alta calidad para que los modelos y las predicciones de IA sean más precisos y apropiados para los casos de uso de ciberseguridad. Sin embargo, estos datos son difíciles de conseguir. Por ejemplo, es difícil descubrir muestras de malware que nos permitan conocer los datos de los ataques. Las organizaciones que han sido vulneradas no están precisamente entusiasmadas con compartir esa información.
Los LLM son útiles para recopilar datos iniciales y sintetizar datos basados en datos reales existentes, ampliándolos para generar nuevos datos sobre fuentes, vectores, métodos e intenciones de ataque. Esta información luego se utiliza para crear nuevas detecciones sin limitarnos a datos de campo. .
verdad fundamental
Como mencioné en mi artículo de hace un año, no siempre conocemos la verdad sobre la ciberseguridad. Podemos utilizar los LLM para mejorar drásticamente la verdad sobre el terreno al encontrar brechas en nuestra detección y en múltiples bases de datos de malware, reducir las tasas de falsos negativos y volver a capacitar los modelos con frecuencia.
2. Herramientas
Los LLM son excelentes para hacer que las operaciones de ciberseguridad sean más fáciles, más fáciles de usar y más procesables. El mayor impacto de los LLM en ciberseguridad hasta ahora es para el Centro de Operaciones de Seguridad (SOC).
Por ejemplo, la capacidad clave detrás de la automatización de SOC con LLM es la llamada a funciones, que ayuda a traducir instrucciones en lenguaje natural a llamadas API que pueden operar SOC directamente. Los LLM también pueden ayudar a los analistas de seguridad a manejar alertas y respuestas a incidentes de manera mucho más inteligente y rápida. Los LLM nos permiten integrar sofisticadas herramientas de ciberseguridad al recibir comandos en lenguaje natural directamente del usuario.
Explicabilidad
Los modelos anteriores de Machine Learning funcionaron bien, pero no pudieron responder a la pregunta «¿por qué?» Los LLM tienen el potencial de cambiar las reglas del juego al explicar el motivo con precisión y confianza, lo que cambiará fundamentalmente la detección de amenazas y la evaluación de riesgos.
La capacidad de los LLM para analizar rápidamente grandes cantidades de información es útil para correlacionar datos de diferentes herramientas: eventos, registros, nombres de familias de malware, información de vulnerabilidades y exposiciones comunes (CVE) y bases de datos internas y externas. Esto no sólo ayudará a encontrar la causa raíz de una alerta o un incidente, sino que también reducirá enormemente el tiempo medio de resolución (MTTR) para la gestión de incidentes.
Escasez de talento
La industria de la ciberseguridad tiene una tasa de desempleo negativa. No tenemos suficientes expertos y los humanos no pueden mantenerse al día con la enorme cantidad de alertas. Los LLM reducen enormemente la carga de trabajo de los analistas de seguridad gracias a sus ventajas: reunir y digerir grandes cantidades de información rápidamente, comprender comandos en lenguaje natural, dividirlos en pasos necesarios y encontrar las herramientas adecuadas para ejecutar tareas.
Desde la adquisición de conocimientos y datos del dominio hasta la disección de nuevas muestras y malware, los LLM pueden ayudar a acelerar la creación de nuevas herramientas de detección de manera más rápida y efectiva que nos permitan hacer cosas automáticamente, desde identificar y analizar nuevo malware hasta identificar a los malos actores.
También necesitamos crear las herramientas adecuadas para la infraestructura de IA, de modo que no todo el mundo tenga que ser un experto en ciberseguridad o un experto en IA para beneficiarse del aprovechamiento de la IA en la ciberseguridad.
3 predicciones para 2024
Cuando se trata del uso cada vez mayor de la IA en la ciberseguridad, está muy claro que estamos en el comienzo de una nueva era: la etapa inicial de lo que a menudo se llama crecimiento del “palo de hockey”. Cuanto más aprendamos sobre los LLM que nos permitan mejorar nuestra postura de seguridad, mayor será la probabilidad de que estemos por delante de la curva (y de nuestros adversarios) para aprovechar al máximo la IA.
Si bien creo que hay muchas áreas en ciberseguridad propicias para el debate sobre el uso creciente de la IA como multiplicador de fuerzas para combatir la complejidad y la ampliación de los vectores de ataque, tres cosas se destacan:
1. Modelos
Los modelos de IA darán grandes pasos adelante en la creación de un conocimiento de dominio profundo que esté arraigado en las necesidades de la ciberseguridad.
El año pasado, se dedicó mucha atención a mejorar los modelos generales de LLM. Los investigadores trabajaron duro para hacer que los modelos fueran más inteligentes, más rápidos y más baratos. Sin embargo, existe una enorme brecha entre lo que estos modelos de propósito general pueden ofrecer y lo que la ciberseguridad necesita.
Específicamente, nuestra industria no necesita necesariamente un modelo enorme que pueda responder preguntas tan diversas como “Cómo hacer huevos florentinos” o “Quién descubrió América”. En cambio, la ciberseguridad necesita modelos hiperprecisos con un conocimiento profundo del dominio de las amenazas, los procesos y más de la ciberseguridad.
En ciberseguridad, la precisión es fundamental. Por ejemplo, procesamos más de 75 TB de datos todos los días en Palo Alto Networks desde SOC de todo el mundo. Incluso el 0,01% de los veredictos de detección errónea pueden ser catastróficos. Necesitamos IA de alta precisión con una amplia experiencia y conocimiento en seguridad para brindar servicios personalizados centrados en los requisitos de seguridad de los clientes. En otras palabras, estos modelos necesitan realizar menos tareas específicas pero con mucha mayor precisión.
Los ingenieros están logrando grandes avances en la creación de modelos con más conocimiento de la industria vertical y de dominios específicos, y estoy seguro de que en 2024 surgirá un LLM centrado en la ciberseguridad.
2. Casos de uso
Surgirán casos de uso transformadores para los LLM en ciberseguridad. Esto hará que los LLM sean indispensables para la ciberseguridad.
En 2023, todo el mundo estaba muy entusiasmado con las increíbles capacidades de los LLM. La gente usaba ese «martillo» para probar cada «clavo».
En 2024, comprenderemos que no todos los casos de uso son los más adecuados para los LLM. Tendremos productos de ciberseguridad reales habilitados para LLM dirigidos a tareas específicas que coincidan bien con las fortalezas de los LLM. Esto realmente aumentará la eficiencia, mejorará la productividad, mejorará la usabilidad, resolverá problemas del mundo real y reducirá los costos para los clientes.
Imagine poder leer miles de manuales sobre problemas de seguridad, como configurar dispositivos de seguridad de terminales, solucionar problemas de rendimiento, incorporar nuevos usuarios con credenciales y privilegios de seguridad adecuados y desglosar el diseño arquitectónico de seguridad proveedor por proveedor.
La capacidad de los LLM para consumir, resumir, analizar y producir la información correcta de una manera escalable y rápida transformará los centros de operaciones de seguridad y revolucionará cómo, dónde y cuándo desplegar profesionales de seguridad.
3. Seguridad y protección de la IA
Además del uso de la IA para la ciberseguridad, otros temas importantes son cómo construir una IA segura y utilizarla de forma segura, sin poner en peligro la inteligencia de los modelos de IA. Ya ha habido muchas discusiones y un gran trabajo en esta dirección. En 2024 se implementarán soluciones reales y, aunque puedan ser preliminares, serán pasos en la dirección correcta. Además, es necesario establecer un marco de evaluación inteligente para evaluar dinámicamente la seguridad de un sistema de IA.
Recuerde, los LLM también son accesibles para los malos actores. Por ejemplo, los piratas informáticos pueden generar fácilmente una cantidad significativamente mayor de correos electrónicos de phishing con una calidad mucho mayor utilizando LLM. También pueden aprovechar los LLM para crear malware nuevo. Pero la industria está actuando de manera más colaborativa y estratégica en el uso de los LLM, lo que nos ayuda a salir adelante y a mantenernos por delante de los malos.
El 30 de octubre de 2023, el presidente de Estados Unidos, Joseph Biden, emitió una orden ejecutiva que cubre el uso responsable y apropiado de tecnologías, productos y herramientas de IA. El propósito de esta orden abordó la necesidad de que los proveedores de IA tomen todas las medidas necesarias para garantizar que sus soluciones se utilicen para aplicaciones adecuadas y no para fines maliciosos.
La seguridad de la IA representa una amenaza real, una que debemos tomar en serio y asumir que los piratas informáticos ya están diseñando para desplegarla contra nuestras defensas. El simple hecho de que los modelos de IA ya se utilicen ampliamente ha dado lugar a una importante expansión de las superficies de ataque y los vectores de amenaza.
Este es un campo muy dinámico. Los modelos de IA progresan a diario. Incluso después de implementar las soluciones de IA, los modelos evolucionan constantemente y nunca permanecen estáticos. La evaluación, el seguimiento, la protección y la mejora continua son muy necesarios.
Cada vez más ataques utilizarán IA. Como industria, debemos convertir en una máxima prioridad el desarrollo de marcos de IA seguros. Esto requerirá un lanzamiento a la luna actual que implique la colaboración de proveedores, corporaciones, instituciones académicas, formuladores de políticas, reguladores: todo el ecosistema tecnológico. Será una tarea difícil, sin lugar a dudas, pero creo que todos somos conscientes de lo crítica que es esta tarea.
Conclusión: Lo mejor está por llegar
En cierto modo, el éxito de los modelos de IA de uso general como ChatGPT y otros nos ha arruinado la ciberseguridad. Todos esperábamos poder crear, probar, implementar y mejorar continuamente nuestros LLM para hacerlos más centrados en la ciberseguridad, solo para recordar que la ciberseguridad es un área única, especializada y complicada para aplicar la IA. Necesitamos lograr los cuatro aspectos críticos correctos para que funcione: datos, herramientas, modelos y casos de uso.
La buena noticia es que tenemos acceso a muchas personas inteligentes y decididas que tienen la visión para comprender por qué debemos impulsar sistemas más precisos que combinen potencia, inteligencia, facilidad de uso y, quizás por encima de todo, relevancia en materia de ciberseguridad.
He tenido la suerte de trabajar en este espacio durante bastante tiempo y nunca dejo de sentirme emocionado y gratificado por el progreso que mis colegas dentro de Palo Alto Networks y en la industria que nos rodea hacen todos los días.
Volviendo a la parte complicada de ser un pronosticador, es difícil saber mucho sobre el futuro con absoluta certeza. Pero sí sé estas dos cosas:
- 2024 será un año fenomenal en la utilización de la IA en ciberseguridad.
- 2024 palidecerá en comparación con lo que está por venir.
Para saber más, visítenos aquí.