¿Se ha roto la defensa contra los ciberataques? Como responsable de marketing de producto en Vectra AI, asistí recientemente por primera vez a la Cumbre de Seguridad y Riesgos de Gartner en Londres y esta fue mi primera pregunta. Justo después de la primera sesión inaugural, confirmé que la espiral del más es real en ciberseguridad. Más ataques, más herramientas, más alertas y más agotamiento.
A lo largo de la conferencia, me encontré repetidamente con los mismos tres temas:
- ¿Cómolograr resultados eficaces y eficientes en materia de seguridad sin desbordar nuestros recursos y capacidades?
- ¿Cómopodemos aprovechar la IA para defendernos de los atacantes en evolución que están adoptando la IA?
- ¿Cómopuede nuestro Centro de Operaciones de Seguridad (SOC) proteger las identidades para que no las utilicen los atacantes?
En esta entrada del blog, compartiré algunas de las conclusiones clave de la cumbre y el enfoque único de Vectra AIAI para abordar estas cuestiones.
Mentalidad mínima eficaz
Lo primero que se aprende es el concepto de "mentalidad mínima eficaz", es decir, la idea de encontrar el equilibrio óptimo entre seguridad y sencillez.
Herramientas mínimas eficaces
Más herramientas no garantizan una mejor protección. Aunque el 75% de las organizaciones persiguen la consolidación de proveedores1, en última instancia utilizan más herramientas y tecnologías, ya que los responsables de seguridad siguen pensando que no están debidamente protegidos2. Los equipos de seguridad deben aspirar al menor número de tecnologías necesarias para observar, defender y responder a los intentos de explotación. Al evaluar la eficacia de las herramientas, se anima a los equipos de seguridad a tener en cuenta la interoperabilidad entre ellas y el tiempo y esfuerzo necesarios para gestionarlas, mantenerlas y utilizarlas.
Experiencia mínima efectiva
Más profesionales de la ciberseguridad no proporcionan necesariamente una mejor protección. Con un crecimiento del 65% en la demanda de talentos en ciberseguridad en un mercado que ya tiene una escasez de 3,4 millones de talentos34, contratar a más expertos no es la respuesta al problema del aumento de ataques sofisticados. Por lo tanto, los equipos de seguridad deben cambiar su enfoque hacia el desarrollo de una experiencia mínima eficaz. Un ejemplo es aprovechar la IA para reducir la cantidad de tareas repetitivas y tediosas.
Detección y respuesta integradas de amenazas de ataques híbridos de Vectra AIAI
Con la plataforma Vectra AI, los comportamientos de los atacantes son visibles en todas las redes, identidades, cloud pública y SaaS. Las señales se integran en todos los dominios para eliminar la latencia en los procesos de detección, investigación y respuesta. Nuestra solución aumenta la productividad de los analistas del SOC en más del doble, ya que reducimos el ruido de las alertas en un 80%. También reducimos el tiempo de ingeniería de detección de meses a días, ya que aprovechamos más de 150 modelos de detección predefinidos. Nuestra herramienta cuenta con más de 40 integraciones predefinidas en herramientas EDR, SIEM, SOAR e ITSM, lo que garantiza la interoperabilidad con las herramientas existentes.
Defensa contra ataques de inteligencia artificial
La segunda conclusión es la necesidad de utilizar eficazmente la IA para defenderse de unos atacantes cada vez más sofisticados que están adoptando la IA para automatizar y optimizar sus actividades maliciosas. Aunque la mayoría de los proveedores de seguridad afirman que utilizan IA en su tecnología, es más importante que los equipos de seguridad sigan siendo críticos y se planteen las preguntas adecuadas para evaluar sus herramientas. Por ejemplo, ¿su enfoque de IA/ML se limita a detectar anomalías y requiere un ajuste y mantenimiento humanos constantes? ¿Su investigación se centra únicamente en herramientas/grupos de ataque específicos que serán difíciles de aplicar a técnicas más recientes? ¿Su algoritmo se ejecuta en lotes periódicos que podrían provocar un retraso de la alerta y dar a los atacantes la oportunidad de progresar más en sus ataques? Aunque los proveedores le den las respuestas perfectas, la validación es la clave para evitar que prometan más de la cuenta y no cumplan lo prometido. Para ello, se anima a los equipos de seguridad a utilizar métodos internos y externos, como herramientas de simulación de ataques y servicios de validación de terceros.
Enfoque único de Vectra AIAI para encontrar los ataques que otros no pueden
Para defendernos eficazmente contra los ataques de IA, necesitamos adoptar el punto de vista del atacante en la defensa de IA. Vectra AI tiene 35 patentes en detección de amenazas basada en IA y es el proveedor más referenciado por MITRE D3FEND. Nuestras detecciones se centran explícitamente en encontrar atacantes e identificar métodos de ataque en acción, no sólo anomalías. Nuestros algoritmos de IA orientados a la seguridad estudian cómo los eventos individuales se correlacionan con incidentes de seguridad procesables. Nuestra tecnología patentada Attack Signal IntelligenceTM utiliza IA/ML para analizar los comportamientos de los atacantes y los patrones de tráfico exclusivos del entorno del cliente, con el fin de reducir el ruido de las alertas y sacar a la luz únicamente los eventos positivos reales relevantes. Nuestro equipo de I+D no sólo supervisa y revisa constantemente los métodos de los atacantes, sino que también estudia los métodos generales que utilizan. Esto garantiza que Vectra AI pueda crear cobertura tanto para las herramientas que ejecutan ataques hoy en día como para las que se desarrollarán en el futuro. Como la velocidad de detección es importante, nuestros algoritmos se ejecutan sobre datos en streaming en lugar de hacerlo sobre lotes periódicos para garantizar tiempo suficiente para detener la progresión de los atacantes.
Tejido de identidad en el SOC
Dado que la IA es el camino a seguir, ¿dónde puede desplegarse para obtener valor lo antes posible? Esto me lleva a la tercera conclusión: los equipos de los SOC deben aprovechar la IA para detectar y responder a los ataques contra la identidad. El 84% de las organizaciones sufren infracciones relacionadas con la identidad5. Los atacantes a menudo se centran en las credenciales y privilegios de los usuarios, especialmente de los superadministradores, para obtener acceso y moverse lateralmente por las redes. Las últimas violaciones de MGM y Caesar's Palace son ejemplos de ello. Para abordar este problema, tenemos que pensar más allá de la prevención. La prevención puede fallar, sobre todo porque el ser humano suele ser el eslabón más débil de la ciberseguridad. Mi colega me contó hace poco que su acceso a la cuenta de superadministrador de su exempleador sólo se revocó seis meses después de que ella dejara la empresa. Imagínese lo que pueden hacer los atacantes. Necesitamos visibilidad del comportamiento de los atacantes entre el acceso inicial a la identidad y el momento en que alcanzan la joya de la corona. Necesitamos detectar cuándo una cuenta privilegiada está en el punto de mira y cuándo los atacantes se mueven lateralmente por la red y los entornos cloud .
El IDR de Vectra AIAI detiene los ataques antes de que lleguen a la joya de la corona
La solución IDR de Vectra AIAI permite detectar amenazas tanto en entornos de red (ActiveDirectory) como en cloud (Azure AD y M365), ofreciendo una visibilidad híbrida integrada. Nuestro sistema patentado Privilege Account Analytics aprende los privilegios de las cuentas para ayudar a los analistas de seguridad a descubrir y centrarse automáticamente en las cuentas más útiles para los atacantes.
Al reflexionar sobre la conferencia de tres días, me doy cuenta de que se requiere un cambio fundamental para hacer frente a la espiral de más. Con una mentalidad mínimamente eficaz para embarcarse en un viaje de defensa eficaz contra la IA, espero que podamos seguir asociándonos con más equipos de seguridad para impedir que los atacantes creen un impacto en su organización.
Para obtener más información sobre cómo Vectra AI puede acompañarle en su viaje por la ciberseguridad, visite la página de nuestra plataforma y solicite una demostración hoy mismo.
3 ISC2 Estudio de la mano de obra de ciberseguridad 2021