IA para la seguridad: Hace su presentación Microsoft Security Risk Detection

Microsoft trabaja en la creación de un servicio de nube que utiliza inteligencia artificial para rastrear bugs en software que se encuentra disponible a nivel general, y también comenzará a ofrecer una versión previa de la herramienta a usuarios de Linux.

Microsoft Security Risk Detection, antes conocida como Project Springfield, es una herramienta basada en la nube que los desarrolladores pueden utilizar para buscar bugs y otras vulnerabilidades de seguridad en el software que preparen para lanzamiento o uso. La herramienta está diseñada para encontrar vulnerabilidades antes de que el software vea la luz, lo que ahorra a las compañías del dolor de cabeza de tener que parchar el bug, lidiar con interrupciones de funcionamiento del software o responder a un ataque después de que haya sido lanzado.

David Molnar, el investigador de Microsoft que lidera el grupo que entrega la herramienta de detección de riesgos, comentó que las empresas, de manera tradicional, han contratado expertos en seguridad para realizar esta tarea, que se llama fuzz testing1, si es que lo hicieron. Conforme se ha incrementado el volumen puro de software que las empresas crean y utilizan, se ha vuelto más complicado mantener el paso del vertiginoso ritmo de realizar pruebas a tanto software, pero más importante que nunca, mantener a los sistemas seguros contra ataques.

Él comentó que el servicio de detección de riesgos puede actuar como una especie de ayudante adicional, para incrementar el trabajo que los desarrolladores ya realizan, al utilizar inteligencia artificial (IA) para problemas relacionados con la seguridad.

“Utilizamos IA para automatizar el mismo proceso de razonamiento que ustedes o yo podríamos utilizar para encontrar un bug, y lo escalamos con el poder de la nube”, comentó.

El fuzz testing es una de las muchas medidas de seguridad que los expertos recomiendan para mantener seguros a los sistemas. Busca vulnerabilidades que podrían permitir a las personas malintencionadas, lanzar ataques maliciosos o simplemente provocar fallos en el sistema. Este tipo de prueba está diseñado para encontrar las vulnerabilidades; después, los desarrolladores podrán utilizar otras herramientas para resolver los bugs, mitigar el riesgo o explorar otra solución.

El servicio Microsoft Security Risk Detection es único debido a que utiliza inteligencia artificial para realizar una serie de preguntas tipo “qué pasaría” para tratar de erradicar lo que podría provocar una falla y señalar una inquietud de seguridad. Cada vez que se utiliza, corre sobre las áreas que son más críticas, y busca vulnerabilidades que otras herramientas que no tienen un enfoque inteligente podrían pasar por alto.

Molnar comentó que la herramienta es ideal para las empresas que construyen software para su propio uso, modifican software de línea comercial o licencian ofertas de código abierto.

John Heasman, director senior de seguridad de software en DocuSign, comentó que su empresa fue parte de una pequeña prueba de la versión para Windows de la herramienta de detección de riesgos, que fue lanzada como versión de prueba a finales de 2016.

Para DocuSign, que facilita la capacidad de firmar documentos de manera electrónica en lugar de hacerlo a mano, la herramienta les ayudó a identificar posibles bugs que de otra manera no hubieran encontrado, mencionó Heasman.

También mencionó que fue de especial ayuda porque casi nunca entregó falsos positivos, que son posibles bugs que no resultan problemáticos. Los falsos positivos son un problema clave para la industria debido a que toma mucho tiempo investigar cada uno de ellos y los expertos en riesgos de seguridad dejan pasar bugs reales porque llegan a tener una gran cantidad de falsos bugs para clasificar.

“Es algo excepcional que estas soluciones tengan una tasa tan baja de falsos positivos”, comentó Heasman.

 

Heasman mencionó que DocuSign utilizó Microsoft Security Risk Detection para buscar bugs y vulnerabilidades en software que habían comprado o licenciado y querían incorporarlo dentro de su software particular, involucrado con el manejo de documentos cargados a la plataforma, que podría contener contenido malicioso. La meta era identificar problemas de manera proactiva y evitar ataques potenciales.

“Utilizamos Microsoft Security Risk Detection como un paso extra de seguridad”, comentó.

Molnar mencionó que la herramienta ha resultado de gran ayuda para empresas que pasan por una masiva transformación digital, que incorporan tecnología a sus procesos que antes eran realizados de manera manual o que utilizaban una tecnología más simple.

La gente que trabaja en esas empresas puede ser experta mundial en su oferta central de negocios –ya sea fabricar cerveza o vender helados– pero no necesariamente cuentan con el personal para realizar pruebas sofisticadas de seguridad de todo el software nuevo que quieren utilizar, aclaró.

Bases en las propias pruebas de seguridad de Microsoft

Microsoft ha utilizado un componente clave de Microsoft Security Risk Detection, llamado SAGE, desde mediados de los años 2000, empezando con versiones de Windows, Office y otros productos. La herramienta de detección de riesgos es utilizada en la actualidad por diferentes equipos de producto como parte de Microsoft Security Development Lifecycle.

Microsoft Risk Detection Service agrupa a SAGE con otras herramientas de fuzzing, y agrega un tablero amigable con el usuario y otras herramientas, además de correr sobre la Nube de Azure.

Microsoft planea ofrecer la herramienta para venta en los próximos meses a través de Microsoft Services. Los desarrolladores se pueden registrar para conocer más sobre la versión para Windows o para la versión previa para Linux, en el sitio web de Microsoft Security Risk Detection.