La IA podría crear el ataque. El comportamiento observable aún lo delata.

El auge de los modelos de IA de vanguardia ha desatado un debate creciente sobre su posible papel en la ciberseguridad. Aunque gran parte de la conversación se ha centrado en cómo la IA podría ayudar a descubrir nuevas vulnerabilidades o a crear técnicas de ataque cada vez más sofisticadas, muchas organizaciones se están haciendo una pregunta más práctica:

‍

¿Cómo defenderse de ataques nunca antes vistos?

‍

Es una preocupación válida. Al fin y al cabo, si la IA puede ayudar a los atacantes a moverse más rápido, identificar debilidades de forma más eficiente o generar patrones de ataque completamente nuevos, los enfoques tradicionales basados únicamente en firmas podrían dejar de ser suficientes.

‍

Sin embargo, desde la perspectiva de un defensor, la pregunta más relevante a menudo no es cómo se creó un ataque, sino cómo se manifiesta en las capas de red y aplicación.

‍

Ya sea que un ataque haya sido generado por un humano, un script o un modelo de IA avanzado, en última instancia, debe interactuar con la infraestructura de formas observables. Debe consumir recursos, abusar de protocolos, explotar el comportamiento de las aplicaciones o generar patrones de tráfico que difieran de la actividad legítima del usuario.

‍

Esto plantea una pregunta más práctica:

‍

¿Cómo detectamos y mitigamos patrones de ataque nunca antes vistos o de día cero?

‍

La buena noticia es que los defensores han estado lidiando con ataques "desconocidos" mucho antes de que la IA entrara en escena. Comprender cómo funciona la detección moderna ayuda a explicar el porqué.

‍

Pero primero: Los principios fundamentales de la detección de ataques

En el nivel más fundamental, la detección de ataques suele basarse en una combinación de tres enfoques.

‍

1. Detección Basada en Umbrales

La forma más sencilla de detección es la detección por umbral.

‍

Por ejemplo:

• Un servidor normalmente recibe 10.000 solicitudes HTTP por minuto.
• De repente, recibe 500.000 solicitudes por minuto.

Aunque la técnica de ataque nunca se haya visto antes, el consumo de recursos resultante se vuelve observable.

‍

Los umbrales pueden basarse en:

• Volumen de tráfico
• Paquetes por segundo
• Solicitudes por segundo
• Tasas de creación de sesiones
• Tasas de consultas DNS
• Tasas de transacciones de API

Esta sigue siendo una de las formas más efectivas de identificar ataques volumétricos y de agotamiento de recursos. Aunque es efectiva, la detección basada en umbrales por sí sola no es suficiente para todos los escenarios. Esto nos lleva al segundo pilar de la detección moderna de ataques.

‍

2. Inteligencia de Amenazas

El segundo enfoque se basa en la inteligencia de amenazas.

‍

El Marco de Inteligencia de Amenazas (NTIF) de Nexusguard rastrea continuamente:

• Infraestructura de botnets conocida
• Direcciones IP maliciosas
• Reputación de la infraestructura de ataque
• Fuentes de ataque observadas previamente
• Fuentes de inteligencia de amenazas

Si el tráfico se origina en una infraestructura maliciosa conocida, la mitigación puede comenzar mucho antes y con mayor confianza. El desafío, por supuesto, es que los atacantes evolucionan continuamente su infraestructura. Las nuevas botnets y las fuentes de ataque nunca antes vistas puede que aún no existan en las bases de datos de reputación. 

‍

3. Detección basada en firmas

El tercer enfoque se basa en firmas.

‍

Algunos ejemplos son:

• Inundaciones SYN de TCP
• Abuso del protocolo TCP
• Ataques de amplificación de DNS
• Paquetes malformados
• Cargas útiles de exploits conocidas
• Patrones de ataque de aplicaciones conocidos

Cuando una firma está disponible y la confianza es alta, la mitigación puede aplicarse de inmediato.

‍

En pocas palabras:

‍

Si sabemos con certeza que es un ataque, lo bloqueamos.

‍

Si aún no estamos seguros, observamos el comportamiento, analizamos el impacto y generamos confianza antes de actuar.

‍

Estos enfoques a menudo operan simultáneamente.

‍

Dónde encaja la IA en la ecuación

La IA no detecta mágicamente ataques que no dejan señales observables.

‍

En cambio, la IA ayuda a Nexusguard a resolver dos problemas prácticos:

1. Precisión de la detección

Reduciendo:

• Falsos positivos (FP)
• Falsos negativos (FN)

2. Velocidad de detección

Reduciendo el tiempo necesario para:

• Detección
• Análisis
• Mitigación
• Respuesta operativa

En otras palabras, la IA ayuda a los sistemas y a los equipos del SOC a tomar mejores decisiones, más rápido.

‍

Mejora de la precisión de la detección

NBTD – Establecimiento de líneas base de comportamiento basado en ML

El proceso comienza con la recopilación de telemetría.

‍

Para la protección de la capa de red, Nexusguard recopila:

• Netflow
• IPFIX
• sFlow

Para la protección de la capa de aplicación, Nexusguard observa:

• Solicitudes HTTP/S
• Tráfico DNS
• Comportamiento de la API
• Características de la sesión
• Patrones de focalización de recursos

NBTD (Detección de Amenazas por Comportamiento de Red) utiliza técnicas de aprendizaje automático para establecer líneas base de comportamiento para entornos protegidos.

‍

Estas líneas de base se adaptan continuamente a:

• Patrones de tráfico estacionales
• Variaciones según la hora del día
• Crecimiento natural del tráfico
• Comportamiento específico del protocolo

Esto permite a la plataforma distinguir el crecimiento legítimo de la actividad de ataque y reduce significativamente los falsos positivos.

Tres modos de detección

Nexusguard actualmente admite tres enfoques de detección.

Modo normal

• Detección por umbral basada en el tiempo
• Optimizado para ataques sostenidos
• Umbrales definidos por el administrador

Modo rápido

• Detección basada en volumen
• Optimizado para ataques de ráfaga y ataques rápidos
• Detección más rápida de patrones de ataque de corta duración

Modo SMART

• Umbrales adaptativos asistidos por IA
• Aprende del comportamiento histórico del tráfico
• Ajusta dinámicamente los umbrales
• Mejora la precisión de la detección
• Reduce los falsos positivos

En esta etapa, la plataforma no intenta determinar si un ataque se originó a partir de un humano o de un modelo de IA de vanguardia.

‍

En su lugar, se centra en identificar comportamientos anómalos.

Acelerando la detección y respuesta

NTIF – Correlación de inteligencia de amenazas

En paralelo con el análisis de comportamiento, el tráfico se evalúa continuamente con NTIF.

Esto incluye:

• IPs maliciosas conocidas
• Inteligencia de botnets
• Reputación de la infraestructura
• Observaciones históricas de ataques

‍

Bajo NTIF, el Módulo de Amenazas Adaptativo aprende continuamente de la actividad de ataques y de la retroalimentación del SOC para mejorar la confianza en la detección y acelerar la respuesta.

Filtro SMART – Mitigación dinámica

Una vez detectada la actividad maliciosa, comienza la mitigación.

‍

Para patrones de ataque conocidos:

• Firmas existentes
• Políticas de mitigación existentes
• Filtros existentes

se pueden aplicar de inmediato.

‍

Para patrones de ataque nunca antes vistos:

SMART Filter genera automáticamente reglas de mitigación temporales basadas en las características de ataque observadas y las desviaciones de comportamiento.

‍

Estas reglas se supervisan continuamente utilizando el indicador de precisión SMART y pueden ser:

• Insertadas
• Modificadas
• Perfeccionadas
• Eliminadas

a medida que evolucionan las condiciones del ataque.

‍

Esto permite que la mitigación comience antes de que se desarrollen firmas permanentes.

Análisis SOC asistido por IA

La tecnología por sí sola no es la respuesta definitiva. La capa final sigue siendo el Centro de Operaciones de Seguridad de Nexusguard.

‍

Para apoyar a los analistas, Nexusguard opera una plataforma interna de IA agéntica que utiliza Generación Aumentada por Recuperación (RAG).

‍

La plataforma puede analizar información de:

• Datos históricos de ataques
• Bases de conocimiento de productos
• Documentación operativa
• Repositorios de ingeniería
• Conocimiento de soporte

Esto permite a los analistas:

• Identificar ataques históricos similares
• Correlacionar la actividad de ataques en grandes conjuntos de datos
• Analizar las características de los ataques
• Comprender la efectividad de mitigaciones anteriores
• Generar recomendaciones de mitigación

El objetivo no es la mitigación autónoma.

‍

El objetivo es acelerar el análisis y mejorar la respuesta operativa.

Integrando todo

Para un ataque nunca antes visto o generado por IA, el flujo de trabajo:

‍

Recopilación de telemetría

→ Establecimiento de líneas base de comportamiento (NBTD)

→ Detección (Normal / Rápida / SMART)

→ Correlación de Inteligencia de Amenazas (NTIF)

→ Mitigación Dinámica (Filtro SMART)

→ Análisis/Intervención del SOC y Mejora Continua

‍

En última instancia, Nexusguard no intenta identificar si un ataque fue generado por un modelo de IA de vanguardia.

‍

En su lugar, se centra en identificar el comportamiento observable que genera el ataque.

‍

Ya sea que el ataque haya sido generado por un humano, un script o un modelo de IA avanzado, en última instancia debe consumir recursos, abusar de protocolos, explotar el comportamiento de las aplicaciones o generar patrones de tráfico anormales.

‍

Esas son las señales que Nexusguard está diseñado para detectar y mitigar.

‍

A medida que la IA continúa acelerando el ritmo al que se pueden desarrollar nuevas técnicas de ataque, el desafío para los defensores permanece fundamentalmente inalterado. El objetivo no es determinar si un ataque se originó de un humano o un modelo de IA, sino identificar el comportamiento malicioso de forma rápida, precisa y con la confianza suficiente para tomar medidas.

‍

Al combinar la línea base de comportamiento, la inteligencia de amenazas, la mitigación adaptativa y la experiencia humana, Nexusguard se centra en las señales observables que todo ataque genera en última instancia. Independientemente de cómo se cree un ataque, esas señales siguen siendo la base de una detección y mitigación efectivas.

(Imagen: Gemini)