Por qué la automatización, la inteligencia artificial y el aprendizaje automático son cada vez más importantes para las operaciones de SOC. En comparación con los humanos, los algoritmos son simplemente mucho más rápidos para definir un estado normal de los procesos de TI o identificar patrones de comportamiento.
Los proveedores de tecnología trabajan constantemente para mejorar la seguridad informática en las empresas. Pero aunque los Centros de Operaciones de Seguridad (SOC) están mejorando para protegerse de las amenazas, aún queda mucho por hacer. La IA, el aprendizaje automático (ML) y la automatización respaldan de manera efectiva a los expertos sin hacerlos superfluos.
Inteligencia artificial y aprendizaje automático (ML) en el SOC
Una base importante para mejorar el trabajo en el SOC fue la idea de que una defensa basada únicamente en la tecnología no es suficiente. En el juego del gato y el ratón entre la ciberdefensa y el ataque, los atacantes suelen estar un paso crucial por delante. Por lo tanto, el uso de nuevas tecnologías como la automatización, la inteligencia artificial y el aprendizaje automático (ML) juega un papel importante en el alivio de las personas. En comparación con los humanos, los algoritmos son simplemente mucho más rápidos para definir un estado normal de los procesos de TI, la llamada línea de base, identificar patrones de comportamiento y reconocer desviaciones de los procesos normales.
Pero no funciona sin el pensamiento humano. La ciberdefensa eficiente necesita tanto: tecnologías de automatización dirigidas y efectivas como IA y aprendizaje automático (ML) por un lado, que complementen el conocimiento especializado y la experiencia de un defensor humano por el otro. Ambos pueden ser parte de un Centro de Operaciones de Seguridad (SOC) interno o un servicio subcontratado como Detección y Respuesta Administradas (MDR).
La necesidad del juicio humano es y sigue siendo indiscutible
Es un error común pensar que más tecnología significa menos necesidad de personas. La automatización, la inteligencia artificial y el aprendizaje automático probablemente nunca reemplacen por completo la necesidad de la toma de decisiones humana en la seguridad de TI. El analista humano sigue siendo insustituible mientras se enfrenta a un atacante de carne y hueso.
Esto se debe a que la mente del hacker es demasiado inteligente y puede usar el pensamiento abstracto para eludir las defensas e infiltrarse en una red objetivo de una manera que las herramientas tecnológicas simplemente no ven. Entonces, por ejemplo, incluso la solución EDR (Detección y respuesta de punto final) más avanzada tiene pocas posibilidades contra un empleado que es engañado para que proporcione una contraseña administrativa utilizando ingeniería social.
La tecnología y las personas deben trabajar juntas
Los analistas de seguridad humana que piensan y actúan como el atacante ofrecen la mejor oportunidad de contrarrestar el comportamiento individual, nunca completamente predecible, de un ciberdelincuente. La IA, el ML y la automatización respaldan a los expertos con información para mejorar y acelerar evaluaciones y decisiones bien fundamentadas para defenderse de ataques complejos. Un enriquecimiento automatizado que proporcione al analista toda la información relevante debe basarse en diversas bases de conocimiento y recursos de investigación para que los analistas puedan comprender el campo de batalla en el que operan y tomar decisiones informadas. En base a esto, los analistas que entienden lo que el atacante está tratando de lograr pueden iniciar las medidas de respuesta apropiadas.
Donde la automatización, la inteligencia artificial y el aprendizaje automático ya tienen éxito
Las iniciativas de automatización, ML e IA ya tienen éxito en varias áreas de la seguridad de TI. Cuando los atacantes automatizan sus ataques, por ejemplo, la defensa automatizada es suficiente a cambio. AI y ML también ayudan contra ataques con Credential Stuffing. Aquí, la inteligencia de amenazas sirve como guía para desarrollar herramientas que puedan detectar actores maliciosos. Luego, los analistas de seguridad reciben orientación sobre la mejor manera de definir los indicadores de compromiso (IOC).
La automatización y el aprendizaje automático también pueden predecir cómo evolucionará el malware. Esto le permite crear una firma única contra el nuevo malware, que luego ayuda a detectar más ataques. Otra área importante de aplicación es recopilar y procesar grandes cantidades de datos de seguridad. Estos datos son necesarios para descubrir y verificar la actividad anormal como un riesgo y, por lo tanto, para encontrar la proverbial aguja en un montón de agujas.
Así que el SOC del futuro utilizará IA, ML y automatización
Información sobre un SOC de Bitdefender (Imagen: Bitdefender).
En general, la IA, el ML y la automatización mejorarán la eficiencia de los SOC y brindarán a los analistas más contexto en tiempo real. Además, la IA puede imitar a los atacantes. Escanea grandes entornos y los compara con vulnerabilidades conocidas para luego predecir cómo un actor malicioso explotaría esas superficies de ataque. Dicha información es extremadamente valiosa para que los analistas prevengan ataques de manera proactiva.
Los ayudantes inteligentes jugarán un papel importante cuando se trata de escalar. Actualmente, los analistas solo pueden recopilar una cantidad limitada de datos de forma manual. Sin embargo, cuanta más información esté disponible, más patrones, relaciones e ideas se podrán obtener. Sin embargo, los modelos de licencia de muchas herramientas hasta ahora han restringido severamente el volumen de datos utilizado. En el futuro, esta limitación apenas existirá y grandes conjuntos de datos se podrán examinar de forma más estratégica y se podrán realizar análisis predictivos.
Conclusión: los ayudantes inteligentes han venido para quedarse
La seguridad informática seguirá siendo un juego moderno del gato y el ratón. AI, ML y automatización ya están ganando terreno en las operaciones de SOC y están ayudando a los analistas a mejorar la seguridad de TI en la empresa. Los asistentes inteligentes ya ofrecen muchas ventajas, especialmente cuando se trata de identificar riesgos potenciales de forma rápida y precisa. En el futuro, los algoritmos se utilizarán para muchas otras aplicaciones de seguridad informática, aumentando así la seguridad. Se recomienda a las empresas que utilicen tecnologías ya establecidas basadas en automatización, IA y ML en su SOC y que vigilen de cerca las nuevas tecnologías. Independientemente de esto, los seres humanos siguen siendo indispensables. Pero para el éxito necesita tecnologías modernas.
Más en Bitdefender.com
Acerca de Bitdefender Bitdefender es líder mundial en soluciones de ciberseguridad y software antivirus, y protege más de 500 millones de sistemas en más de 150 países. Desde su fundación en 2001, las innovaciones de la compañía han brindado regularmente excelentes productos de seguridad y protección inteligente para dispositivos, redes y servicios en la nube para clientes privados y empresas. Como proveedor elegido, la tecnología de Bitdefender se encuentra en el 38 por ciento de las soluciones de seguridad implementadas en el mundo y cuenta con la confianza y el reconocimiento de profesionales de la industria, fabricantes y consumidores por igual. www.bitdefender.de