Ejecutar un modelo personalizado en una instancia privada permite una mayor seguridad y control. Otra forma de implementar barreras de seguridad es utilizar API en lugar de permitir que los analistas conversen directamente con los modelos. «Elegimos no hacerlos interactivos, sino controlar qué preguntarle al modelo y luego brindar la respuesta al usuario», dice Foster. «Esa es la forma segura de hacerlo».
También es más conveniente ya que el sistema puede poner en cola las respuestas y tenerlas listas antes de que el analista sepa que las quiere y ahorrarle al usuario la molestia de cortar y pegar toda la información requerida y generar el mensaje. Con el tiempo, los analistas podrán hacer preguntas de seguimiento a través de un modo interactivo, pero eso aún no existe.
En el futuro, dice Foster, los analistas de seguridad probablemente podrán hablar con GenAI, de la misma manera que Tony Stark habla con Jarvis en las películas de Iron Man. Además, Foster espera que GenAI pueda tomar medidas basadas en sus recomendaciones para finales de este año. “Digamos, por ejemplo, ‘Tenemos 10 enrutadores con contraseñas predeterminadas. ¿Le gustaría que lo solucione?’” Este nivel de capacidad hará que la gestión de riesgos sea aún más importante.
No cree que los analistas de seguridad vayan a ser eliminados con el tiempo. “Todavía hay un elemento humano en la remediación y la ciencia forense. Pero sí creo que la GenAI, combinada con la ciencia de datos, eliminará gradualmente a los analistas de nivel uno y tal vez incluso a los analistas de nivel dos en algún momento. Eso es tanto una bendición como una maldición. Una bendición porque nos faltan analistas de seguridad en todo el mundo. La maldición es que se está apoderando de los trabajos relacionados con el conocimiento”. La gente simplemente tendrá que adaptarse, añade Foster. «No serás reemplazado por la IA, pero serás reemplazado por alguien que la use».
Los analistas utilizan GenAI para escribir guiones y resúmenes
Netskope tiene un SOC global que opera las 24 horas del día para monitorear sus activos internos y responder a alertas de seguridad. Primero, Netskope intentó utilizar ChatGPT para encontrar información sobre nuevas amenazas, pero pronto descubrió que la información de ChatGPT estaba desactualizada.
Un caso de uso más inmediato fue preguntar cosas como: Escribir una entrada de control de acceso para el firewall XYZ. «Este tipo de consulta requiere conocimientos generales y estaba dentro de las capacidades de ChatGPT en abril o mayo de 2023», dice el CISO adjunto de Netskope, James Robinson. Los analistas utilizaron la versión pública de ChatGPT para estas consultas. “Pero establecimos directrices. Le decimos a la gente: ‘No tomen ninguna información confidencial y la pongan en ChatGPT’”.
A medida que la tecnología evolucionó a lo largo del año, estuvieron disponibles opciones más seguras, incluidas instancias privadas y acceso a API. «Y hemos hecho más ingeniería para aprovechar eso», dice Robinson. «Nos sentimos mejor con las protecciones que existían con las API».
Un caso de uso posterior fue usarlo para recopilar información general. «La gente está rotando para trabajar en inteligencia sobre amenazas cibernéticas y rotando y necesita poder retomar las cosas rápidamente», dice. “Por ejemplo, puedo preguntar cosas como: ‘¿Han cambiado las cosas con este actor de amenazas?’”. Copilot resultó ser particularmente bueno a la hora de proporcionar información actualizada sobre amenazas, afirma Robinson.
Cuando los analistas recién contratados pueden crear resúmenes de amenazas más rápido, pueden dedicar más tiempo a comprender mejor los problemas. «Es como tener un asistente cuando te mudas a una nueva ciudad o casa, ayudándote a descubrir y comprender tu entorno», dice Robinson. «Solo que, en este caso, el ‘hogar’ es un puesto de SOC en una nueva empresa».
Y para los analistas de SOC que ya desempeñan sus funciones, la IA generativa puede servir como multiplicador de fuerza, afirma. «Estas ventajas probablemente evolucionarán hacia que la industria vea analistas automatizados e incluso hacia una función de ingeniería que pueda crear reglas personalizadas y realizar detección de ingeniería, incluida la integración con otros sistemas».
GenAI ayuda a revisar las políticas de cumplimiento
Insight es un integrador de soluciones de 14.000 personas con sede en Arizona que utiliza GenAI en su propio SOC y asesora a las empresas sobre cómo utilizarlo en el suyo. Uno de los primeros casos de uso es revisar las políticas de cumplimiento y hacer recomendaciones, dice Carm Taglienti, directora de datos y directora de cartera de datos e IA de Insight. Por ejemplo, dice, alguien podría preguntar: “Lea todas mis políticas y dígame todas las cosas que debería hacer con base en los marcos regulatorios existentes y dígame qué tan lejos están mis políticas de adherirse a esas recomendaciones. ¿Está nuestra política en línea con el marco del NIST? ¿Qué debemos hacer para endurecerlo?
Insight utiliza OpenAI que se ejecuta en la instancia privada de Azure de Microsoft, combinado con un almacén de datos al que puede acceder a través de RAG (generación de recuperación aumentada). «La base de conocimientos son nuestros propios documentos internos más cualquier documento que podamos recuperar del NIST o ISO o de cualquier otro grupo o consorcio popular», dice. «Si proporciona el contexto correcto y hace el tipo correcto de preguntas, puede resultar muy eficaz».
Otro posible caso de uso es utilizar GenAI para crear procedimientos operativos estándar para vulnerabilidades particulares que estén en línea con políticas específicas, basados en recursos como la base de datos @MITRE. «Pero ahora estamos en los primeros días», dice Taglienti.
GenAI tampoco es bueno en el flujo de trabajo todavía, pero está por llegar, afirma. «La resolución basada en agentes está a la vuelta de la esquina». Insight ya está experimentando con agentes, añade. «Si detecta un tipo particular de incidente, puede utilizar IA basada en agentes para remediarlo, apagar el servidor, cerrar el puerto, poner en cuarentena la aplicación, pero no creo que estemos tan maduros todavía».
Casos de uso futuros de GenAI en centros de operaciones de seguridad
El siguiente paso es permitir que GenAI vaya más allá de resumir información y brindar consejos para salir y hacer cosas. Secureworks ya tiene complementos que permiten enviar datos útiles al sistema de inteligencia artificial. Pero, en un hackathon reciente, la compañía también probó conectar GenAI a su motor de orquestación. «Razona qué medidas se deben tomar», afirma Falkenhagen. “Una de ellas podría ser, por ejemplo, bloquear a un usuario y forzar un inicio de sesión. Podría determinar qué manual usar y luego llamar a la API para ejecutar esa acción sin ninguna intervención humana”.
Entonces, ¿llegará el día en que los analistas de seguridad humana queden obsoletos? Falkenhagen no lo cree así. “Lo que veo que sucede es que trabajarán en actividades de mayor valor”, dice. “La clasificación de nivel uno es el peor castigo para cualquiera. Es sólo un trabajo duro. Estás lidiando con tantas alertas y tantos falsos positivos. Al reducir esa carga de trabajo, los analistas pueden pasar a realizar investigaciones, realizar análisis de causa raíz, buscar amenazas y tener un mayor impacto”.
Falkenhagen no espera ver despidos debido al mayor uso de GenAI. “Hoy en día existe tal escasez de habilidades en ciberseguridad que las empresas luchan por contratar y retener talento”, dice. “Veo esto como una manera de hacer mella en ese problema. De lo contrario, no veo cómo saldremos de la brecha que existe. Simplemente no hay suficiente gente”.
GenAI no es una solución mágica para los SOC
Estudios académicos recientes muestran un impacto positivo en la productividad de los analistas principiantes, dice el analista de Forrester, JP Gownder. Pero hay una advertencia. «Los estudios también muestran que si se le pregunta a la IA sobre algo que está más allá de sus capacidades, se puede empezar a depreciar el rendimiento», afirma. “En un entorno de seguridad, el listón de precisión es muy alto. La IA generativa puede generar resultados mágicos pero también caos. Está integrado en la naturaleza de los grandes modelos de lenguaje”.
Los centros de operaciones de seguridad necesitarán requisitos de investigación estrictos y pondrán a prueba estas soluciones antes de implementarlas ampliamente. «Y la gente necesita poder tener criterio para utilizar estas herramientas con criterio y no simplemente aceptar las respuestas que están obteniendo», afirma.
En 2024, Gownder espera que muchas empresas no inviertan lo suficiente en este aspecto de formación de la IA generativa. “Creen que una hora en un aula hará que la gente se ponga al día. Pero hay habilidades que sólo pueden cultivarse durante un período de tiempo”.