Cuando su organización esté al borde de una brecha, recordemos lo que esto significa realmente para que tenga la mejor oportunidad posible de detenerla. Independientemente de cómo se haga, después de que los delincuentes accedan a su entorno, necesitan tiempo para sentirse como en casa y trabajar para conseguir un objetivo. Esto podría significar preparar la detonación de un ransomware o prepararse para la toma de control de una cuenta, pero en cualquier caso necesitan tiempo dentro. De hecho, según este artículo de DarkReading, el tiempo medio de permanencia global de un atacante en un entorno antes de ser detectado ha descendido a 24 días.
Se podrían reunir diferentes perspectivas sobre lo que ocurre durante el tiempo de permanencia, pero si se tiene en cuenta que el tiempo que los atacantes pasan dentro de un entorno sigue disminuyendo, el tiempo es el factor más importante para detectar las brechas. Cuanto menor sea el tiempo de permanencia, menos tiempo se tiene para detectar a los atacantes antes de que ocurra algo malo. Para tener una mejor idea de cómo las organizaciones pueden aumentar la eficiencia de los SOC, de modo que estén preparados para detectar y detener ataques rápidamente, nos pusimos en contacto con el equipo de investigación de IA en Vectra para obtener algunos consejos. Echemos un vistazo más de cerca a cómo la IA puede añadir potencia extra a su SOC.
Aumente la precisión de las alertas y minimice los falsos positivos con la IA
Los SOC no disponen de mucho tiempo al día y no pueden permitirse el lujo de atascarse con alertas benignas. Sin embargo, la recopilación de los datos adecuados y una inteligencia artificial significativa pueden detectar ataques y eventos de seguridad que requieren atención inmediata. El reciente informe Spotlight, Vision and Visibility: Top 10 Threat Detections for Microsoft Azure AD and Office 365 ofrece una visión detallada de cómo la recopilación de los datos adecuados junto con las detecciones de amenazas basadas en IA identificarán la actividad de un adversario durante eventos como un ataque a la cadena de suministro. La IA es la forma más eficaz de detectar la diferencia entre el comportamiento de un usuario autorizado y las acciones de un atacante, algo cada vez más difícil de identificar a medida que los atacantes se vuelven más hábiles.
Optimización basada en IA para investigaciones basadas en análisis
Las investigaciones pueden ser una pesada carga para los SOC y, por lo general, consisten en procesos manuales que consumen mucho tiempo y que no proporcionan un enfoque realista para identificar a los atacantes que ya han eludido los controles perimetrales. Una vez más, el tiempo es el problema aquí porque las investigaciones requieren un conjunto de habilidades especializadas, incluyendo la capacidad de analizar malware, registros, paquetes forenses, junto con la capacidad de correlacionar grandes cantidades de datos de una amplia gama de fuentes. En muchos casos, las investigaciones de eventos de seguridad pueden durar horas, mientras que un análisis completo de amenazas avanzadas puede llevar incluso días, semanas o meses. Todos estos escenarios de investigación pueden automatizarse con IA significativa, incluidas las funciones de detección de amenazas, elaboración de informes y triaje que suelen realizar los analistas de nivel 1, lo que les devuelve valiosas horas para realizar otras actividades. Los analistas también obtienen un contexto más profundo y significativo sobre las comunicaciones maliciosas, incluidos detalles sobre comportamientos de ataque específicos y dispositivos host comprometidos implicados en los ataques.
Automatizar la caza de amenazas con IA
La caza de amenazas es otro de los retos de los que se encargan los SOC, y sin duda necesario en el entorno actual para adelantarse a los atacantes. La IA puede ayudarle a descubrir a los atacantes ocultos en una fase temprana y mucho antes de que otras herramientas o el personal sepan de su existencia. Por ejemplo, podría aprovechar la IA para mejorar las investigaciones basadas en cuentas, de modo que los analistas dispongan de los detalles necesarios para identificar los usos y acciones de cuentas potencialmente comprometidas o incluso rastrear las comunicaciones para ayudar a determinar los dispositivos host que tienen dominios o IP específicos. Al igual que ocurre con otras investigaciones, las funciones de detección, elaboración de informes y triaje que se realizan habitualmente pueden automatizarse por completo.
Detectar, puntuar y priorizar las amenazas de alto riesgo mediante IA
Una de las formas más rápidas en que un equipo SOC puede perder horas valiosas es escudriñando entre todas las diferentes herramientas de seguridad y alertas que pueden o no mostrar la información más pertinente. Cuando se hace bien y se utiliza la IA por todas las razones mencionadas anteriormente, los SOC reciben información priorizada sobre las amenazas que plantean el mayor riesgo, como cualquier activo clave que muestre signos de un ataque o cualquier anomalía que deba remediarse. Esto ayuda enormemente a los equipos de los SOC a priorizar dónde invertir su tiempo.
Por supuesto, el SOC es diferente en cada organización, y éstas son sólo algunas de las formas en que la IA puede echar una mano y liberar recursos para que su equipo pueda adelantarse a los atacantes y detenerlos antes de que se produzca una brecha. Como hemos dicho, todo se reduce a recuperar el activo más valioso que tiene a la hora de defender su entorno: el tiempo.
Para ver cómo la IA puede echar una mano en su SOC, solicite una demostración hoy mismo.