El siguiente artículo es una transcripción de una entrevista reciente en la que Ed Amoroso, fundador y CEO de TAG Infosphere y Mark Wojtasiak, vicepresidente de producto de Vectra AI , discuten cómo las organizaciones pueden utilizar el enfoque de IA adecuado para defenderse con éxito de los ataques híbridos actuales.
Ed: Pocas empresas de ciberseguridad tienen tanta experiencia en la aplicación de la inteligencia artificial (IA) a la ciberseguridad como Vectra AI. Han desarrollado una sólida capacidad en el uso de la IA para detectar con precisión los ciberataques, investigar e iniciar la respuesta, y esto coincide claramente con las necesidades de la mayoría de las organizaciones modernas que buscan mejorar sus defensas y, por tanto, la resiliencia ante los ataques.
Recientemente pasamos un tiempo con el equipo Vectra AI para comprender mejor cómo están utilizando la IA para acelerar la detección y mitigación de la ciberseguridad, así como el modo en que sus clientes dependen cada vez más de la IA como componente de importancia crítica de su defensa contra los ataques automatizados.
Ed: ¿Cómo funciona la plataforma de Vectra AI mejora la capacidad de las organizaciones para detectar y responder a las ciberamenazas en tiempo real?
Mark: Pensamos en esto en los términos más básicos. En esencia, la capacidad de una organización para detectar y responder a las ciberamenazas en tiempo real se reduce a tres preguntas: ¿Podemos verlo? ¿Podemos detenerla? ¿Con qué rapidez podemos verlo y detenerlo? Con superficies de ataque en constante expansión, métodos de ataque en evolución, nuevas amenazas emergentes y un aluvión de alertas, los métodos tradicionales de detección de amenazas y respuesta son excesivamente manuales, complejos y con latencia. Por si fuera poco, la escasez de recursos y competencias de los SOC no ha hecho más que empeorar las cosas y, cuando se plantea la cuestión de con qué rapidez podemos detectarlo y detenerlo, la respuesta es que no con la suficiente rapidez. La respuesta es no lo bastante rápido.
Tenemos una premisa que sirve de base para nuestra plataforma de IA: las empresas modernas son híbridas, por lo que todos los ataques son ataques híbridos. Sostenemos que en la empresa híbrida moderna, los ataques híbridos están haciendo que los enfoques tradicionales de detección de amenazas y respuesta sean ineficientes e ineficaces. Para los equipos SOC, detectar un ataque híbrido es como encontrar la aguja en un montón de agujas. La única manera de encontrar la aguja es pensar como un atacante híbrido. Hoy en día, pensamos que tenemos superficies de ataque individuales que gestionar: puntos finales, redes, identidades, nubes, aplicaciones de correo electrónico, etc., pero los atacantes híbridos ven una superficie de ataque integrada gigante. Integrada es la palabra clave, y nuestra plataforma está diseñada para ofrecer a los defensores una visión integrada en tiempo real de los ataques en toda la superficie de ataque híbrida. Esto elimina la complejidad y la latencia en los procesos de detección, investigación y respuesta, y reduce drásticamente la carga de trabajo de los analistas del SOC.
Ed: ¿Puede explicarnos con más detalle las técnicas y metodologías específicas de IA empleadas por Vectra AI para analizar los comportamientos de la red e identificar actividades maliciosas?
Mark: El enfoque de Vectra AI para la detección de amenazas combina la experiencia humana con un amplio conjunto de ciencia de datos y técnicas avanzadas de aprendizaje automático. Este modelo ofrece un ciclo continuo de inteligencia de ataques basado en investigación de seguridad, modelos de aprendizaje global y local, aprendizaje profundo y redes neuronales. Mediante algoritmos de detección de comportamientos para analizar metadatos de paquetes capturados, nuestra IA de ciberseguridad detecta ataques ocultos y desconocidos en tiempo real, tanto si el tráfico está cifrado como si no. Nuestra IA solo analiza los metadatos capturados de los paquetes, en lugar de realizar una inspección profunda de los mismos, para proteger la privacidad del usuario sin husmear en las cargas útiles sensibles.
El aprendizaje global comienza con los Laboratorios de Amenazas de Vectra AI , un grupo a tiempo completo de expertos en ciberseguridad e investigadores de amenazas que analizan continuamente malware, las herramientas de ataque, las técnicas y los procedimientos para identificar tendencias nuevas y cambiantes en el panorama de las amenazas. Su trabajo sirve de base a los modelos de ciencia de datos utilizados por nuestro sistema de Attack Signal Intelligenceincluido el aprendizaje automático supervisado. Se utiliza para analizar volúmenes muy grandes de tráfico de ataque y destilarlo hasta las características clave que hacen que el tráfico malicioso sea único.
El aprendizaje local identifica lo que es normal y anormal en la red de una empresa para revelar patrones de ataque. Las técnicas clave utilizadas son el aprendizaje automático no supervisado y la detección de anomalías. Vectra AI utiliza modelos de aprendizaje automático no supervisado para aprender sobre el entorno específico de un cliente, sin la supervisión directa de un científico de datos. En lugar de concentrarse en encontrar y notificar anomalías, Vectra AI busca indicadores de fases importantes de un ataque o técnicas de ataque, incluidos signos de que un atacante está explorando la red, evaluando hosts para el ataque y utilizando credenciales robadas.
Nuestro motor de priorización basado en IA combina miles de eventos y rasgos de red en una única detección. Mediante técnicas como la correlación de eventos y la puntuación de hosts, nuestra IA correlaciona todos los eventos de detección con hosts específicos que muestran signos de comportamientos amenazantes. A continuación, puntuamos automáticamente cada detección y host en términos de gravedad y certeza de la amenaza utilizando nuestro propio índice de certeza de la amenaza.
Por último, realizamos un seguimiento de cada evento a lo largo del tiempo y a través de cada fase del ciclo de vida del ciberataque, prestando especial atención a las entidades que tienen un valor estratégico para un atacante.
Ed: ¿Qué diferencia a Vectra AI en ciberseguridad basada en IA, especialmente en términos de escalabilidad y adaptabilidad a las amenazas en evolución?
Mark: Yo diría que es nuestro enfoque. Hace una década creamos una metodología basada en cinco principios básicos de IA aplicada a la ciberseguridad:
1. Empiece con el planteamiento correcto del problema.
2. Los datos correctos.
3. Crear una competencia de ingeniería de ML.
4. Desbloquee la innovación en ML con la plataforma.
5. Validar y mejorar continuamente.
Nuestra metodología se basa en la integración de la investigación en seguridad, la ingeniería ML -la combinación de la ciencia de datos y la ingeniería- y la UX centrada en una misión: utilizar la IA para encontrar señales de ataque dentro de los datos a velocidad y escala. Contamos con más de 150 modelos que abarcan redes neuronales, ML supervisado, ML no supervisado y detección de novedades, 12 referencias para MITRE D3FEND -más que cualquier otro proveedor- y un efecto de red formado por más de 1500 clientes que validan y mejoran continuamente nuestras detecciones de IA tanto para las técnicas de ataque existentes como para las nuevas que descubrimos. Hay casos en los que hemos identificado nuevas técnicas de ataque y desarrollado detecciones antes de que se publiquen en MITRE ATT&CK lo que significa que nuestros clientes obtienen una cobertura continua de las nuevas técnicas de ataque sin ningún trabajo de ingeniería de detección.
Ed: ¿Cómo garantiza Vectra AI un mínimo de falsos positivos y falsos negativos en sus algoritmos de detección de amenazas basados en IA?
Mark: Creemos que detectar y responder a lo que llamamos ataques híbridos en tiempo real solo puede hacerse con IA. La IA es la única forma de ofrecer a los equipos SOC lo que necesitan: señales integradas y precisas de ataques híbridos a gran velocidad y escala. Lo llamamos nuestra Attack Signal Intelligence y utiliza IA para analizar, clasificar y correlacionar miles de eventos de detección al día que abarcan redes, identidades, nubes y aplicaciones SaaS. En lugar de emitir miles de alertas sobre amenazas individuales, nuestra plataforma de IA emite alertas de un solo dígito al día sobre entidades prioritarias (tanto hosts como cuentas) que están siendo atacadas.
En los términos más básicos, nuestra IA responde a las tres preguntas que los analistas del SOC necesitan que se les contesten cada día que se sientan frente a sus monitores: ¿Es real esta amenaza? ¿me importa? ¿Y es urgente? En otras palabras, ¿merece la pena mi tiempo y mi talento? Uno de nuestros clientes lo expresó mejor al decir: "la plataforma Vectra AI ayuda a nuestros ingenieros y analistas a eliminar la ambigüedad de su día y a centrarse en lo que importa".
Cómo lo hacemos es sencillo. Aprovechamos nuestras detecciones de IA predefinidas, basadas en el comportamiento y específicas del dominio para dar a conocer los ataques desconocidos. Utilizamos la IA para integrar y automatizar la correlación de eventos de amenazas con el fin de eliminar la latencia de la ingeniería de detección. Y, lo que es más importante, utilizamos la IA para cambiar la experiencia del analista de la detección de amenazas centrada en eventos a la priorización de señales centrada en entidades, reduciendo así el ruido y la carga de trabajo, lo que maximiza el valor del talento SOC existente.
Ed: De cara al futuro, ¿qué papel cree que desempeñará la IA en la defensa de la ciberseguridad y cómo se posiciona Vectra AI para liderar esta evolución?
Mark: Como he dicho antes, hoy en día, detectar y responder a ataques híbridos en tiempo real solo puede hacerse con IA. Vemos el futuro como un SOC totalmente basado en IA. La primera fase de la evolución consiste en el uso de IA aplicada a la defensa proactiva, desde la identificación de comportamientos emergentes de los atacantes hasta la detección y priorización de entidades en las primeras fases de una campaña de ataque. Creemos que nuestro enfoque de IA/ML -nuestra Attack Signal Intelligence y nuestro motor de priorización centrado en entidades- está a la vanguardia de este movimiento.
Creo que la segunda fase del SOC impulsado por la IA será el uso de la IA generativa para la defensa prescriptiva relacionada con las investigaciones y la respuesta a las amenazas. Vemos que esto ya está ocurriendo con la adopción de proveedores y el uso de LLM para ayudar a los analistas del SOC a reducir la carga de trabajo de investigación y acelerar los tiempos de investigación. Potencialmente, la IA podría ir un paso más allá y prescribir, incluso adoptar, la acción de respuesta adecuada para contener o aislar el ataque. Vectra AI ha optado por centrarse ante todo en ofrecer la señal de ataque más integrada y precisa. Sostenemos que cuanto más precisa sea la señal de ataque, más convincente será la aplicación de los LLM para una investigación y respuesta eficaces.
Considero que la tercera fase de la evolución del SOC es la IA para la defensa predictiva. Dada nuestra comprensión de los comportamientos de los atacantes -nuestra Attack Signal Intelligence combinada con nuestro enfoque y el efecto de red que disfrutamos de nuestros más de 1500 clientes empresariales-, Vectra AI está bien posicionada para liderar e innovar en la defensa predictiva impulsada por la IA.
Puede obtener más información sobre TAG y Vectra AI descargando el informe gratuito: Tag Security Annual 2023: Edición especial