Uso de IA para la seguridad de la automatización de TI
La historia del envenenamiento de pozos en tiempos de conflicto es bien conocida. Ya sea cortando el acceso a los pozos o utilizándolos como un multiplicador de fuerza para propagar enfermedades, el pozo de la ciudad siempre ha sido un vector de ataque importante.
En la época moderna, podemos trazar la analogía de un pozo con un script o un punto final de API que inicia una automatización que impulsa el cambio en la infraestructura, las aplicações y los servicios digitales. La mayoría de las organizaciones (el 78 % según nuestro próximo informe State of Aplicação Strategy 2023) emplean un amplio conjunto de automatizaciones en TI para hacer exactamente eso. Esto no debería sorprender dada la prevalencia de la automatización para impulsar cambios en sistemas complejos a gran escala operados por Facebook, Twitter y Amazon, entre otros.
Esto se debe a que, al igual que el pozo compartido de antaño, un solo script puede afectar a miles de sistemas en cuestión de minutos. En el pasado, los cambios manuales que afectaban al mismo número de sistemas podían llevar días o incluso semanas. La automatización es un multiplicador de fuerza que permite que operaciones de todo tipo se escalen de maneras que los seres humanos nunca podrían lograr. Es la piedra angular para escalar los procesos, las prácticas y el negocio. De hecho, se puede argumentar, como lo hicimos en Arquitectura empresarial para negocios digitales , que una organización no puede convertirse en un negocio digital sin automatización. Es una de las seis capacidades clave que las organizaciones necesitan desarrollar para capitalizar con éxito los datos, adoptar operaciones de SRE e infundir a los servicios digitales la capacidad de adaptarse a través de la entrega de aplicaciones modernas .
Pero lo que pasa con la automatización es que, bueno, es automática. Una vez iniciado, es difícil interceptar los cambios en cascada que se producen en dichos sistemas. Después de todo, la velocidad del cambio es uno de los impulsores de la automatización y, una vez iniciados, esos cambios son difíciles (si no imposibles) de detener.
Uno tendría que vivir fuera de la red para no haber oído hablar de la automatización que propaga cambios no deseados que, en última instancia, afectaron a grandes franjas de Internet. Es casi imposible recordar un parámetro incorrecto introducido en un script una vez que se presiona el botón Intro o se invoca el punto final de la API. Una vez ejecutado, el pozo quedó envenenado.
No es la primera vez que doy la voz de alarma respecto a la seguridad de la automatización de TI. Es un vector de ataque pasado por alto y poco explorado que, tarde o temprano, será explotado. Y aunque ese «finalmente» esté a décadas de distancia, la amenaza más inmediata del error humano sigue existiendo. Según la última investigación del Uptime Institute , “casi el 40% de las organizaciones han sufrido una interrupción importante causada por un error humano en los últimos tres años”.
Aquí es donde la IA (o, más correctamente, el ML) entra en escena.
El uso del aprendizaje automático para proteger la automatización de TI
El aprendizaje automático es particularmente hábil para descubrir patrones y relaciones entre puntos de datos. Hoy en día, la mayor parte del mercado se centra en la aplicação del aprendizaje automático para resolver desafíos operativos y de seguridad. Esto incluye identificar si un usuario es un bot o un humano, reconocer ataques e incluso predecir interrupciones inminentes.
Un área a menudo inexplorada es el uso de IA y ML para proteger la infraestructura de las aplicaciones. Por ejemplo, utilizar el aprendizaje automático para comprender cómo los operadores y administradores interactúan con sistemas críticos y notar inmediatamente cuando una interacción se desvía de la norma. Esto es útil para detectar atacantes que intentan acceder a directorios a los que no deberían o invocar comandos con parámetros fuera del uso normal.
Lee esa última parte de nuevo. Invocar comandos con parámetros fuera del uso normal.
Ahí está. No hay nada peculiar en la seguridad de la capacidad de la IA y del aprendizaje automático en general: detectar parámetros anómalos o un intento de ejecutar un comando inusual. Lo que significa que esta tecnología podría aplicarse fácilmente a la automatización de TI para detectar errores humanos o comandos intencionalmente maliciosos.
Suponiendo el nivel correcto de acceso a los sistemas de destino, una solución de aprendizaje automático de este tipo ciertamente podría ofrecer un camino para proteger los sistemas contra parámetros incorrectos ocasionales, intentos de comunicación lateral o cualquier otro ataque. ¿Alguien tiene ransomware?
La infraestructura (para aplicaciones, distribución de aplicaciones y automatización) sigue siendo un vector de ataque atractivo . A medida que las organizaciones avanzan hacia la adopción de una mayor automatización (y lo están haciendo), necesitan considerar simultáneamente las ramificaciones (accidentales o intencionales) del uso de esa automatización. A partir de ahí, es necesario considerar cómo protegerlo contra el inevitable dedo gordo o la pulsación de una tecla maliciosa.
La automatización es un multiplicador de fuerza. Punto final. Esto significa que es útil tanto para casos de uso previstos como maliciosos. Lo que implica la necesidad de protegerlo. El aprendizaje automático puede ser una forma de integrar la IA con las operaciones para proteger la infraestructura que sigue siendo un componente vital de un negocio digital.