La capacidad de la Inteligencia Artificial para reconocer patrones y establecer modelos de comportamiento habitual, así como detectar irregularidades, la posiciona como un recurso de seguridad formidable, especialmente cuando los ciberdelincuentes intentan acceder a cuentas con información privada.
Durante la primera mitad de 2023, gracias a los análisis basados en Inteligencia Artificial, Barracuda Managed XDR ha logrado identificar y contrarrestar miles de situaciones de alto peligro, de entre casi un billón de incidentes informáticos examinados.
La detección "impossible travel" se refiere a cuando un usuario intenta ingresar a una cuenta en la nube desde dos ubicaciones distantes en un corto período de tiempo, haciendo imposible viajar físicamente entre ambas tan rápidamente. Aunque podría indicar el uso de una VPN, generalmente es una alerta de que un intruso pudo haber accedido a la cuenta del usuario.
“En un incidente investigado por nuestro equipo SOC, un usuario se registró desde su cuenta de Microsoft 365 desde California y, solamente trece minutos después, desde Virginia”, explica Merium Khalid, Director, SOC Offensive Security en Barracuda. “para conseguir esto de manera real se tendría que viajar a una velocidad superior a los 16.000 kilómetros por hora para poder estar en ambos sitios en ese período de tiempo. La IP utilizada para acceder en Virginia no estaba asociada a ninguna dirección VPN conocida y el usuario no solía conectarse desde ese lugar. Avisamos al cliente quien confirmó que no había sido un acceso autorizado e inmediatamente restableció las contraseñas y eliminó al usuario fraudulento de todas sus cuentas”.
Las anomalías se dan cuando los equipos de seguridad identifican una actividad inusual o inesperada en las cuentas del usuario. Esto puede incluir señales como horarios de inicio de sesión raros; pautas de acceso de archivos que son inusuales o una creación excesiva de cuentas para un usuario o compañía. Estas detecciones pueden ser una señal de una variedad de problemas que incluyen las infecciones de malware, amenazas internas o ataques de phishing entre otros.
La comunicación maliciosa hace alusión a interacciones que involucran archivos dañinos o perjudiciales. Estas interacciones pueden estar vinculadas a direcciones IP, dominios o archivos sospechosos. Este tipo de comunicación podría indicar la presencia de malware o un intento de phishing, por lo que se recomienda aislar el equipo inmediatamente si se detecta tal actividad.
“Todo el mundo tiene un perfil digital distintivo en términos de cómo, dónde y cuándo trabaja. Si un evento informático se sale de esos parámetros, la detección basada en IA dispara la alerta”, asegura Merium Khalid. “Sin embargo, mientras que la IA puede mejorar la seguridad, también puede ser utilizada con fines maliciosos para crear e-mails cada vez más convincentes o adaptar código dañino con objetivos específicos y alterando, por ejemplo, las condiciones de seguridad. Para proteger una compañía y a sus empleados contra tácticas de ataque cada vez más inteligentes y con una mayor rapidez de evolución, se necesita una seguridad detallada y multicapa que incluya medidas sólidas de autentificación; formación periódica de los empleados en materia IT; actualizaciones de software, respaldadas por una visibilidad total y una supervisión continua en la red; las propias aplicaciones y los ‘endpoints”, finaliza Khalid.