Los ciberataques están aumentando. Eso significa que los equipos del centro de operaciones de seguridad (SOC) están abrumados por el volumen de alertas que deben analizar y cómo distinguir las amenazas reales del ruido del sistema.
¿Las buenas noticias? La inteligencia artificial (IA) está preparada para potenciar los esfuerzos de modernización del SOC con una automatización sin precedentes, detección proactiva de amenazas y alivio para los equipos de seguridad sobrecargados. La mala noticia es que la IA llegará a manos de los atacantes.
La agencia de espionaje británica GCHQ advirtió recientemente que La IA provocaría un aumento de los ciberataques y reduciría las barreras de entrada para atacantes menos sofisticados.
Shailesh Rao, presidente de Cortex en Palo Alto Networks, dice que «el ritmo y la escala de los ataques son simplemente alucinantes». Hace dos años, la empresa analizaba aproximadamente mil millones de eventos y 20.000 alertas diariamente, dice, pero esa cifra ha aumentado a 36 mil millones de eventos diarios.
No sorprende que Foundry Estudio de prioridades de seguridad 2023descubrió que «el 88% de los líderes de seguridad creen que sus organizaciones se están quedando cortas cuando se trata de abordar el riesgo cibernético». Su objetivo es abordar los desafíos aumentando el gasto, invirtiendo en nueva tecnología y adoptando IA.
Palo Alto Networks ha estado invirtiendo mucho en IA para abordar este problema y lograr mejores resultados de seguridad. Su equipo SOC ha podido manejar miles de millones de eventos por día sin ningún aumento de personal (y reducir el tiempo medio de detección de un día a 10 segundos) gracias a su plataforma de operaciones de seguridad impulsada por IA. Corteza XSIAM.
Análisis y datos
La ciberseguridad es principalmente un problema de análisis y datos, afirma Rao. «Si puedo analizar cada dato que tengo y compararlo con lo que sé que es malo y buscar cualquier cosa que no se ajuste a un patrón conocido, puedo detectar un nuevo ataque que podría estar en progreso», señala.
Pero simplemente hay demasiados datos para que los equipos SOC puedan mantenerse al día. «Estamos hablando de terabytes o petabytes de datos a diario, y la única forma de analizarlos de manera efectiva es utilizando los últimos avances en inteligencia artificial y aprendizaje automático para procesar todos esos datos», agrega Rao.
En muchos SOC, afirma, los equipos se ven abrumados por la necesidad de buscar patrones fuera de la norma en grandes volúmenes de datos. “Esto es lo que se supone que deben hacer las máquinas. Esos equipos no tienen tiempo para mirarlo todo, por lo que crean reglas manuales para buscar la proverbial aguja en un pajar. Pero estas reglas sólo funcionan para lo que se conoce hoy, no mañana. Por eso queremos que los equipos SOC sean defensores, no detectores”.
Para abordar este problema de datos, los análisis de Cortex XSIAM proporcionan inteligencia basada en técnicas, lo que permite unir y agrupar grandes volúmenes de datos y alertas en una cantidad menor de incidentes. Estos incidentes están completamente enriquecidos con un contexto relevante y se resuelven con automatización o se presentan a un analista con una clasificación de gravedad adecuada (crítica, alta, baja, etc.) y acciones recomendadas.
En un ambiente donde Lavado de IA La demanda de software es rampante, Rao dice que el mayor riesgo de adopción es que los SOC «comiencen a utilizar herramientas de IA que no están realmente examinadas para resolver un problema que requiere un alto grado de precisión». La buena noticia es que se puede lograr precisión cuando las organizaciones cuentan con los datos y la tecnología adecuados para impulsar a su equipo.
Hacer clic aquí para obtener más información sobre la transformación del SOC impulsada por la IA