Si se pide a los analistas de seguridad que describan los puntos más problemáticos de su trabajo, sin duda obtendrán respuestas muy diversas. Una cosa que casi con toda seguridad tendrán en común es el reto de hacer frente a la fatiga de las alertas. Hemos observado que los retos en este ámbito se reducen a tres puntos dolorosos para los analistas:
- "No hay suficientes horas al día para atender el volumen de alertas que tengo encima".
- "Soy incapaz de utilizar eficazmente mi tiempo porque no puedo distinguir entre los falsos y los verdaderos positivos".
- "Me preocupa pasar por alto un ataque real porque la señal queda enterrada en el ruido de mi solución heredada".
Hay muchas razones que explican los puntos débiles descritos en las soluciones de seguridad heredadas, pero en gran medida se reducen a:
- La coincidencia simplista de condiciones y anomalías crea falsos positivos.
- Incapacidad de aprovechar las pistas contextuales de la red para mejorar la eficacia.
- Centrarse únicamente en las detecciones, y no en cómo organizarlas eficazmente para que un analista pueda centrarse en las cosas que realmente requieren su atención.
Una forma mejor para los analistas de seguridad:
Desde el primer día, Vectra ha creado detecciones para eliminar la probabilidad de falsos positivos dotando a los algoritmos del contexto de la red. Mientras que los productos de seguridad de red tradicionales pueden buscar simplemente un patrón o una anomalía estadística sin contexto, Vectra diseña nuestras detecciones para aprovechar el contexto de la red e identificar anomalías como lo haría un analista de seguridad.
Por ejemplo, nuestra detección Smash and Grab Exfil aprenderá qué movimiento de datos es normal subred por subred, tendrá en cuenta los sitios que son populares en su entorno y buscará flujos de datos salientes anómalos, incluso en canales cifrados. Vectra correlaciona además las detecciones entre entidades de host y de cuenta, aprendiendo el arquetipo e identificando cada objeto, y luego prioriza las detecciones para los analistas de una forma procesable y clasificada por pilas. Esto simplifica drásticamente el esfuerzo necesario para operar Vectra en comparación con los competidores que simplemente generan detecciones y dejan que el analista discierna el significado.
Pero todavía había un área con la que no estábamos del todo satisfechos: el tratamiento de los Verdaderos Positivos. Esto se debe a que no todos los True Positives son maliciosos. También se puede detectar de forma fiable una actividad cuyo comportamiento es como el sistema dice que es; en el contexto en el que se produce un evento, puede ser un True Positive benigno en lugar de un True Positive malicioso. Por ejemplo, algunos productos antivirus incrustan búsquedas de hash de archivos en las búsquedas DNS del proveedor antivirus. Este comportamiento puede parecerse mucho a un canal de Comando y Control que codifica datos dentro de la carga útil DNS, y eso es porque lo es. Pero el hecho es que, aunque se trata de un verdadero túnel DNS, no es malicioso, sino más bien benigno. Nuestra filosofía ha sido que vamos a proporcionar visibilidad en estas detecciones de alta calidad de los comportamientos y métodos de los atacantes, pero equilibrar esto dando prioridad sólo a la alta confianza, correlacionado, detecciones a nivel de host o cuenta para el usuario para la atención.
Esto nos hizo pensar: ¿hay alguna forma de aplicar algunas de las mismas técnicas que utilizamos para potenciar nuestros algoritmos ML/AI de primera clase para ayudar a diferenciar entre True Positives maliciosos y benignos? El objetivo era eliminar en gran medida la necesidad de que nuestros clientes analizaran los True Positives benignos y, al mismo tiempo, priorizar los True Positives maliciosos para su atención inmediata. Así nació AI-Triage.
Al igual que en el proceso de creación de nuestras detecciones, hemos añadido capacidades de AI-Triage analizando primero la metodología que aplican los analistas del mundo real para resolver estos problemas. A continuación, entrenamos nuestro sistema ML/AI para ayudar a automatizar la resolución de los escenarios de mayor confianza.
Cómo funciona AI-Triage:
Inherente a la plataforma Vectra , AI -Triage funciona analizando automáticamente todas las detecciones activas en el sistema, aprovechando el contexto de las detecciones individuales, así como los puntos en común entre las detecciones para buscar casos de True Positives benignos que podemos triar automáticamente en nombre del cliente. Por ejemplo, si vemos docenas de puntos finales que generan la misma detección de túnel HTTPS oculto al mismo destino, durante al menos 14 días sin otros indicadores de peligro, podemos identificarlo con confianza como un verdadero positivo benigno. A continuación, AI-Triage creará automáticamente una regla de triaje en nombre del cliente, sin requerir ningún tiempo valioso del analista. Si un analista desea revisarla, la actividad sigue estando disponible en la plataforma, pero no requiere ninguna acción del analista y no afecta a la puntuación del host o de la cuenta.
Inicialmente introdujimos la compatibilidad de AI-Triage con las detecciones basadas en C2 y Exfil y, en nuestra próxima versión, nos basaremos en este magnífico marco para ampliar AI-Triage a las detecciones basadas en Lateral. Hemos observado que AI-Triage reduce en más de un 80 % el número total de detecciones que un analista tendría que investigar, lo que significa que puede dedicar más tiempo a centrarse en los eventos que requieren la atención del analista.
Despliegue con un solo clic
Ahora que conoce todas las ventajas que ofrece AI-Triage, le complacerá saber que puede activar las funciones con un solo clic. AI-Triage no requiere ningún tipo de ajuste o administración por parte del cliente. Puede activarlo simplemente yendo a Configuración -> AI-Triage, y activando la función en cuyo momento AI-Triage comenzará a ejecutarse en segundo plano para identificar detecciones positivas verdaderas benignas de alta confianza y clasificarlas por usted.
En los 30 días transcurridos desde su lanzamiento, más de la mitad de nuestros clientes ya han activado AI-Triage. Estamos viendo una reducción sustancial de los verdaderos positivos benignos para la gran mayoría de los clientes. Pero esto es sólo el principio de nuestro viaje para hacer que los analistas de seguridad sean más eficientes. En próximas versiones ampliaremos las capacidades de AI-Triage para cubrir nuevos escenarios y otros productos de nuestra cartera.
Si desea más información sobre AI-Triage, consulte nuestro artículo de KB "AI-Triage en detalle": https://support.vectra.ai/s/article/KB-VS-1582
Para más información sobre la detección ML/AI de categoría mundial de Vectra, visite: https://support.vectra.ai/s/article/KB-VS-1285