Inteligencia artificial: superando el agotamiento en la respuesta a incidentes de seguridad
El número de amenazas a las que están sometidas las organizaciones aumenta exponencialmente. Como resultado, los equipos de respuesta a incidentes de seguridad (IR) se enfrentan a un dilema sin precedentes. Una vez que actúan como una primera línea de defensa reactiva contra las amenazas señaladas por las unidades operativas dentro de la organización, los equipos de RI y sus habilidades están evolucionando para volverse proactivos y preventivos, con énfasis en el descubrimiento de amenazas.
La recopilación centralizada de registros de eventos, el archivo del tráfico de la red, la creación de «lagos de datos» y una gran cantidad de herramientas de consulta e inspección se han convertido en el nuevo enfoque de los equipos de RI. Están adoptando metodologías de búsqueda de amenazas y empleando las últimas herramientas de minería de datos en un intento de identificar las amenazas en movimiento y reducir el descubrimiento de amenazas y los tiempos de respuesta. El objetivo es intervenir temprano en los ciclos de vida de los ataques antes de que ocurran daños graves.
La mayoría de los especialistas senior en RI, con experiencia en la recopilación de pruebas y la selección de eventos a nivel de bytes, han acogido ampliamente estas nuevas herramientas. Sin embargo, la naturaleza de la tarea está pasando factura a medida que se encuentran cada vez más debilitados en el suelo.
En el pasado, una amenaza a menudo ya se había convertido en una infracción en toda regla antes de ser detectada y, por lo general, primero por la unidad de negocios afectada o, lo que es peor, una parte externa. Sin embargo, lo que está en juego ha aumentado tanto en los últimos años que las organizaciones ya no pueden permitirse dejar que una amenaza sospechada se convierta en un ataque exitoso antes de tomar medidas.
Como resultado, los equipos de RI se están extendiendo más allá de su capacidad, ya que la velocidad a la que inicialmente se detectan anomalías sospechosas supera su capacidad para profundizar, validar e investigar la causa raíz. Las capacidades de detección han crecido tanto que ahora hay una gran cantidad de alertas de eventos, algunas de las cuales pueden contener eventos sospechosos, generados cada hora. La necesidad de detectar amenazas desde el principio ha obligado a muchos especialistas en RI a abandonar sus técnicas forenses y de investigación tradicionales.
¿Cómo una organización retiene o justifica su necesidad de especialistas senior de nivel 3 con experiencia? Estos empleados artesanos ofrecen muchos años de experiencia en ciberseguridad combinados con una comprensión poco común del contexto empresarial. Sin embargo, cuando su función principal implica un trabajo de nivel de entrada que requiere mucho tiempo, como la extracción de datos y la clasificación de falsos positivos, sus habilidades básicas se desperdician. En realidad, esto puede convertirse en un desincentivo para quedarse, particularmente en el mercado laboral actual, donde sus talentos siempre están en demanda.
Demasiadas organizaciones han persistido en la creencia de que pueden redirigir a sus profesionales senior de RI, que luego permanecerían voluntariamente en estos nuevos roles. El resultado ha sido el contrario. En el Reino Unido, hay el doble de puestos de ciberseguridad abiertos que profesionales certificados para ocuparlos. Esto es particularmente agudo en el extremo superior de la escala, y tales políticas han llevado a la privación de derechos de los líderes técnicos y exacerbado la sequía de habilidades técnicas profundas y cruciales.
Las organizaciones deben tomar conciencia del potencial de la inteligencia artificial (IA) para revertir su suerte. La última generación de plataformas de búsqueda de amenazas habilitadas por IA se destaca en la extracción de los lagos crecientes de registros y alertas. Estas plataformas pueden correlacionar automáticamente eventos y anomalías, categorizando y etiquetando los ataques en curso. De hecho, tienen el potencial de automatizar y reemplazar por completo los roles de analista de incidentes y respuesta de nivel de entrada.
Esto no debe temerse, sino aceptarse. La automatización de las tareas de investigación de seguridad de nivel 1 volverá a abordar el equilibrio de carga de trabajo crítico con el que luchan muchos especialistas. En su lugar, estas nuevas plataformas permitirán a los equipos de RI más experimentados trabajar más de cerca con la empresa para abordar los eventos atípicos críticos priorizados.
Las alertas de valores atípicos se producen cuando se detectan comportamientos anómalos que no son obviamente maliciosos. A menudo requieren un conocimiento específico e íntimo del negocio para resolver, incluida la capacidad de contextualizar cuando una gran transferencia de datos es sospechosa o rutinaria. También requieren la extracción de evidencia que normalmente no se captura en registros o eventos de alerta, todos los cuales son metadatos, no evidencia primaria. A pesar de sus desafíos, los eventos atípicos mantienen a los expertos altamente valiosos y capacitados ocupados, motivados y capaces de agregar valor continuamente a la organización.
La aplicación de la IA a la ciberseguridad ya está proporcionando un nivel invaluable de automatización en los roles de seguridad de nivel de entrada donde el grupo de talentos está disminuyendo. La tecnología también se puede utilizar para aumentar los especialistas en seguridad de alto valor existentes. Libres de roles de nivel de entrada que consumen mucho tiempo, los especialistas de primer nivel de una empresa son libres de concentrarse en lo que hacen mejor. En el futuro previsible, los seres humanos y la IA están destinados a trabajar juntos en sinergia.