Nos hacen muchas preguntas sobre la IA. Sobre todo relacionadas con la ciberseguridad. La mayoría. De vez en cuando me preguntan: "¿cuándo te va a quitar el trabajo la IA?". Pero puedo confirmar que, de hecho, he escrito este post. En cuanto al siguiente...
Pero los compradores de seguridad son listos. Y teniendo en cuenta que los equipos de seguridad de las empresas pueden estar gestionando más de 70 herramientas de seguridad en la pila, hay muchas afirmaciones en torno a la IA que deberían hacer que los equipos de seguridad exigieran responsabilidades a los proveedores.
Y dado que la IA ha estado en el centro de todo lo que hemos hecho como empresa durante más de una década, hemos recopilado una lista de preguntas a continuación que puede utilizar para ayudar a obtener una lectura sobre la eficacia de los vendedores que afirman que la "IA" estará en su pila. Y ya que lo preguntas, sí, puede facilitarte el trabajo (más información a continuación), no, no tienes que alimentarla (aunque digiere la información a un ritmo increíblemente rápido) y sí, es una gran compañera diaria en el SOC.
1. ¿Cómo se utiliza la IA para detectar y detener los ciberataques?
Importancia: Independientemente de lo que te puedan decir algunos vendedores, no existe un algoritmo o modelo de aprendizaje que actúe como bala de plata capaz de resolver todos los problemas, sino algoritmos óptimos para cada problema que en ciberseguridad generan una señal de ataque.
Usted quiere descubrir cómo un proveedor le ayudará a hacer frente a los ciberataques, y esto se reducirá a la claridad de la señal. ¿Su señal de ataque se centra en las TTP de los atacantes tras el ataque? ¿En qué sentido? ¿Analizará patrones de detección exclusivos de su entorno? ¿Cómo? ¿Y correlacionará las detecciones en todas las superficies de ataque actuales y futuras: red, cloud pública, identidad, SaaS, etc.?
> Aprenda a diferenciar la IA, el Machine Learning y Deep Learning
2. ¿Cómo determina su señal de ataque basada en la IA los comportamientos de los ciberatacantes?
Importancia: Al hacer esta pregunta, podrás adentrarte más en la maleza sobre cómo la IA trabajará entre bastidores en tu entorno para detectar y priorizar los ataques. Averigua si tienen una amplia cobertura para los comportamientos de los atacantes, como mando y control, movimiento lateral, reconocimiento, etc.
Existen algunos recursos útiles que los defensores pueden utilizar para asegurarse de que tienen cobertura frente a las tácticas y técnicas más actuales de los atacantes. Uno de ellos es MITRE ATT&CK - una base de conocimientos de acceso global sobre los métodos de los adversarios. Ésta es sólo una vía, pero se puede preguntar a los proveedores cómo se corresponden sus detecciones con MITRE ATT&CK. Por ejemplo, Vectra Attack Signal Intelligence tiene cobertura para más del 90% de las técnicas relevantes de MITRE ATT&CK ; a partir de ahí, podemos mostrar a los clientes cómo nuestra IA es capaz de detectar un método concreto.
Puede ver cómo se detectan y priorizan los métodos de ataque reales en una de nuestras anatomías de ataque.
O leer sobre:
> Elección de un algoritmo óptimo en el Machine Learning
3. ¿Cómo prioriza su IA las amenazas dirigidas a hosts y cuentas de alto riesgo para que los analistas sepan qué es urgente?
Importancia: Los equipos SOC reciben una media de 4.484 alertas al día. No necesitan más alertas, sino una forma de saber cuáles son importantes. La priorización correcta de la IA ayudará a los analistas a saber dónde centrar su tiempo.
Esta pregunta le ayudará a determinar cómo funciona el modelo de priorización de un proveedor. Querrá saber qué fuentes de datos intervienen en la ecuación, lo que también le ayudará a averiguar hasta qué punto el proveedor es transparente y comunicativo sobre sus algoritmos y cómo llega a una puntuación de amenaza. Existe la oportunidad de averiguar cómo correlaciona la IA las detecciones de amenazas en diferentes superficies de ataque y cómo las evalúa para crear una calificación de urgencia que un analista puede utilizar en su beneficio y, en última instancia, priorizar los riesgos más urgentes.
4. ¿Cómo reducirá su IA la carga de trabajo de mis analistas de seguridad?
Importancia: Un reciente estudioVectra AI reveló que la mayoría de los analistas de SOC afirman que el tamaño de la superficie de ataque de su organización (63%), el número de herramientas de seguridad (70%) y las alertas (66%) que gestionan han aumentado significativamente en los últimos tres años.
En lo que respecta a la detección de amenazas, la IA debe hacer algo más que proporcionar más detecciones de amenazas. ¿Qué vamos a hacer con las más de 4.000 alertas que ya recibimos cada día: añadir más alertas? No, gracias. En lugar de eso, deberíamos poner la IA a trabajar. Una señal de ataque impulsada por IA puede clasificar y priorizar automáticamente detecciones exclusivas de su entorno, lo que puede reducir en gran medida el ruido de detección/alerta (hasta en un 80%), al tiempo que genera una clasificación de urgencia de ataque para que su SOC esté armado para hacer lo que mejor sabe hacer: detener ataques, no lidiar con alertas.
5. ¿Cómo ayudará la IA a mi equipo a investigar y responder a los incidentes de forma más eficaz?
Importancia: La latencia es el mejor amigo de los atacantes híbridos. Su solución de IA debe dar ventaja a los analistas compartiendo contexto sobre ataques a entidades priorizadas con opciones automatizadas y manuales de respuesta.
Usted ya cuenta con procesos de respuesta a incidentes que incluyen personas, procesos y tecnología. La IA debe integrarse en su proceso de respuesta a incidentes, donde trabaja actualmente su equipo. La solución de IA adecuada proporcionará un punto de partida y orientación para las investigaciones, ya sea a través de su propia interfaz o dentro de las herramientas existentes (preferiblemente ambas), de modo que disponga de la narrativa completa del ataque para tomar medidas inteligentes cuando sea necesario.
6. ¿Cómo se integrará su solución de IA con mi actual pila de seguridad?
Importancia: Comprenda cómo se integrará la señal de IA con sus inversiones actuales en seguridad. Podrá aprovecharla allí donde ya opera su equipo?
Del mismo modo que los proveedores deben rendir cuentas de la eficacia de su señal, también deben asegurarse de que se cubren todos los aspectos del proceso de implantación para que sea lo más claro y fluido posible. Específicamente en la detección y respuesta a amenazas, su solución de IA debe proporcionar inteligencia a la infraestructura existente y facilitar a su equipo la respuesta a amenazas urgentes, al tiempo que ayuda a maximizar las inversiones actuales.
7. ¿Ofrecen ejercicios de equipo rojo basados en IA o servicios de pruebas de penetración para validar aún más su señal de ataque?
Importancia: Las pruebas en el mundo real son fundamentales para validar la eficacia de la IA. La confianza del proveedor debe extenderse a la cobertura de los costes de las pruebas si su producto no rinde lo suficiente.
Cualquier tecnología de IA utilizada para la detección y respuesta ante amenazas debe comprender las TTP que utilizan los atacantes híbridos actuales. Una de las mejores formas de saber con seguridad si la solución está a la altura de la tarea, es simular ataques híbridos reales emulando métodos de ataque tanto comunes como sofisticados. Cuanto más precisa sea la señal de ataque híbrido, más sabrán los analistas del SOC dónde concentrar su tiempo y talento.
8. ¿Qué podemos esperar desde el punto de vista de la implantación de la IA, la experiencia de los analistas y la perspectiva de la inversión?
Importancia: Hable con los proveedores sobre cómo se ve el éxito para su equipo en estas tres áreas.
Comprender cuál será la curva de aprendizaje para los miembros del equipo que utilicen la herramienta. Las herramientas de detección y respuesta a amenazas, como XDR, se citan con frecuencia por ser excesivamente complicadas. Un analista no debería tener que trabajar para obtener respuestas, de hecho, debería ser todo lo contrario. Una buena solución es aquella que se utiliza, así que asegúrese de que encajará en el flujo de trabajo del SOC, lo que en última instancia ayudará a que sea una buena inversión.
9. ¿Qué cargas de trabajo del SOC pueden descargarse en su solución de IA?
Importancia: Según Gartner, en 2025, el 90% de los SOC del G2000 utilizarán un modelo híbrido externalizando al menos el 50% de su carga de trabajo operativa.
Si las cargas de trabajo de los analistas de los SOC siguen aumentando, ¿qué parte de su trabajo puede confiarse a un servicio gestionado? Ya hemos hablado de cómo la IA ayuda a los equipos SOC a reducir la latencia y las cargas de trabajo al producir una señal de amenazas de alta calidad, pero tener la opción de añadir servicios gestionados a esa señal puede descargar tareas como la supervisión de amenazas 24x7x365, el ajuste y triaje de detecciones u otras tareas que restan tiempo a los analistas, al tiempo que se obtiene una extensión de su equipo con expertos en IA y plataformas.
¿Se traduce la IA en una señal de ataque integrada en su SOC?
No cabe duda de que la IA ha llegado a toda velocidad en los últimos dos años con todo tipo de reclamos, en muchos casos de proveedores que se suben al carro porque no pueden permitirse el lujo de no tener una estaca en el suelo. Pero hacer las preguntas adecuadas puede ayudar a despejar el camino de los proveedores que sólo serán una herramienta más en la pila o uno que realmente puede ayudar a los defensores a adelantarse a los retos de los ataques híbridos, como la latencia, las cargas de trabajo y el agotamiento en el SOC. Es responsabilidad de los proveedores proporcionar la señal de ataque que le ayudará a detener los ataques, por lo que debemos exigirles que rindan cuentas.