Las empresas globales enfrentan un cambio de paradigma que requiere nuevas capacidades para detectar y responder al entorno actual de amenazas cibernéticas en rápida expansión.
A medida que las tecnologías emergentes como la inteligencia artificial (IA) y la automatización redefinen la detección y respuesta a las ciberamenazas, también ofrecen ventajas a los atacantes, que están "mejorando su juego" para ser más ágiles que muchas de las actuales grandes empresas.
Muchas organizaciones están descubriendo que las capacidades tradicionales de detección y respuesta a las amenazas cibernéticas pueden no ser suficientes para gestionar de manera efectiva el flujo cada vez mayor de datos y alertas. Los más visionarios se apresuran a buscar capacidades emergentes en IA para abordar este entorno de amenazas cada vez más sofisticado y en expansión.
Ahora es el momento, ya que los CISO dedican demasiado tiempo y recursos a clasificar registros de una ola interminable de alertas de amenazas positivas y negativas. El gran desafío para los CISO es encontrar la mejor manera de aplicar las nuevas tecnologías de inteligencia artificial y las capacidades de los cloud hyperscalers para facilitar una automatización que sea capaz de mejorar drásticamente la precisión y fidelidad de las alertas en un contexto de amenazas cada vez más complejo.
La buena noticia, como muchos se están dando cuenta, es que finalmente existen capacidades sólidas en automatización central e inteligencia artificial que permiten llenar los vacíos en habilidades y capacidades en medio de la gran cantidad de datos.
Los avances en los hiperescaladores y la IA ofrecen un potencial de exploración más profundo para la automatización que antes no estaba disponible y, en última instancia, forjan una nueva era para la planificación de la seguridad y la respuesta automatizada (SOAR).
La automatización para combatir amenazas en constante evolución es el camino ineludible que debe seguirse.
Desafortunadamente, si bien muchas empresas adoptan la tecnología para avanzar en algunos aspectos de la ciberseguridad, también pueden depender de sistemas heredados obsoletos y cada vez más vulnerables, así como de la falta de habilidades y de limitaciones que no se pueden remediar rápida ni rentablemente.
Automatizar la detección y respuesta utilizando las últimas capacidades de IA y los hiperescaladores es el camino inevitable que debe seguirse para identificar, analizar y responder a amenazas de seguridad reales y potenciales.
Este enfoque centrado en la nube, que se basa en los hiperescaladores, incluye elementos de detección y respuesta, como la detección y respuesta de endpoints (EDR) o la detección y respuesta extendidas (XDR).
Las organizaciones proactivas están observando sabiamente la evolución del poder de la IA para crear un entorno seguro y adelantarse a posibles actores maliciosos.
Los profesionales de KPMG aconsejan a los clientes que trabajen para "convertir cada punto final en un centinela en lugar de un objetivo". Con la automatización, la detección de amenazas puede realizarse en segundos en lugar de horas o días, llevando la detección de ruido de Nivel 1 a nuevas alturas y reemplazando los antiguos procesos que requerían mucha mano de obra y, por lo tanto, eran propensos al error humano.
Esto permite a los equipos de seguridad centrarse en las actividades de nivel 2 y 3, lo que les permite responder, remediar y recuperarse mucho más rápido.
- Construya la base con su nivel de madurez definido y una única nube con un proveedor nativo de servicios.
- Mejore y amplíe su nivel de madurez con múltiples nubes administradas que son nativas e independientes del proveedor de servicios en la nube (CSP).
- Automatice e integre para optimizar la madurez con la integración empresarial de múltiples nubes centrada en la empresa.
Aplicar un manual estratégico de IA al “lienzo” de la nube
En la carrera por sintetizar la proliferación de datos de múltiples fuentes en conocimientos claros y procesables para impulsar una respuesta rápida a los incidentes, las soluciones de hiperescalado, como Microsoft Security Copilot, están avanzando en las capacidades de clasificación y capacitando a los equipos de seguridad para combatir las amenazas como nunca antes.
Los proveedores de servicios en la nube pueden ofrecer la funcionalidad crítica necesaria para defenderse contra las amenazas, independientemente de la sofisticación de quienes llevan a cabo los “ataques”. Dicho esto, pocas empresas están aprovechando eficazmente su poder.
Es importante destacar que los hiperescaladores que impulsan el tan necesario progreso en la automatización proporcionarán el “lienzo” sobre el cual las empresas deben aplicar estratégicamente un manual preciso de algoritmos, telemetría, habilidades y tácticas adecuadas a sus operaciones y necesidades únicas.
El éxito requiere más que un plan de juego listo para usar para maximizar las ventajas de la IA. También es fundamental combinar habilidades modernas con la gestión de cambios estratégicos para integrar eficazmente a las personas con las capacidades automatizadas de detección de amenazas.
La automatización, la inteligencia artificial y el aprendizaje automático (ML) serán cruciales para aliviar las limitaciones típicas en habilidades y recursos de hoy en día, al tiempo que revolucionarán los procesos, las habilidades, la velocidad y la eficiencia.
Las empresas pueden obtener una nueva e indispensable ventana en materia de alerta de datos y capacidad crítica para determinar instantáneamente, por ejemplo, dónde puede haberse movido una amenaza dentro de la organización y cómo contenerla rápidamente. Ahora es imperativo implementar defensas proactivas y adaptables para combatir a los actores maliciosos en constante evolución.
La buena noticia es que se está dedicando más inversión a impulsar este cambio de paradigma. Las organizaciones líderes, por ejemplo, en los sectores financiero y de las telecomunicaciones, están comprometidas a invertir en inteligencia artificial y herramientas de automatización, generalmente para reducir en hasta un 50% y en el corto plazo las alertas de nivel uno en sus centros de operaciones de seguridad.
Garantizar el cumplimiento normativo y una implementación de IA segura y confiable a lo largo de este viaje será esencial para el éxito.
¿Por dónde empezar? Un enfoque bien planificado es esencial
Un enfoque estratégico para la automatización es clave. Esto incluye trazar un recorrido progresivo y gradual que evite adoptar demasiadas herramientas y tecnologías de automatización diferentes a la vez, ya que algunas de ellas pueden no ser adecuadas para los requisitos únicos y en evolución de su organización. Una hoja de ruta inteligente debe incluir tres pasos clave:
- • No automatices el caos. Incorpore la automatización, la IA y el ML en una estrategia comercial de tres años. Es fundamental conocer los fundamentos de su arquitectura de seguridad desde el principio, junto con los procesos estándar de gestión de incidentes de detección y los manuales de respuesta.
- • Personalice los objetivos y herramientas de la nube. Establezca objetivos específicos adaptados a sus necesidades comerciales únicas para habilitar la automatización, la inteligencia artificial y el aprendizaje automático en sus capacidades generales de detección y respuesta. Es esencial elegir las herramientas en la nube (nativas) adecuadas para el trabajo.
- • Uso de casos rentables para un crecimiento oportuno de la capacidad. Aproveche un conjunto inicial de casos para desarrollar sus capacidades oportunas de manera metódica y rentable.
Para mejorar la detección, centralice y correlacione datos entre fuentes conocidas, como SIEM, registros de la nube, firewalls, EDR/XDR, análisis de vulnerabilidades, inteligencia sobre amenazas, identidades e inventarios de activos.
Además, mejore la riqueza de estas fuentes de datos para que los tickets de incidentes de seguridad tengan más datos y, en última instancia, reduzca la cantidad de "ventanas" que los equipos de análisis de seguridad deben revisar para su clasificación.
El aprendizaje automático y la automatización pueden ayudar a disminuir la cantidad de falsos positivos que llegan a su equipo de Nivel 1, y escalar automáticamente los incidentes más graves a su equipo de Nivel 2.
Para mejorar las respuestas, racionalice y optimice la cantidad de manuales de respuesta y aproveche una plataforma adecuada de planificación de seguridad y respuesta automatizada (SOAR) para aislar y contener automáticamente amenazas conocidas y actividades dañinas.
Como se señaló, el éxito en el avance de la detección y la respuesta no se trata simplemente de “conectarse” a la nube y a las herramientas tecnológicas actuales. Es fundamental comprender cómo diseñar nuevas tecnologías proporcionadas por hiperescaladores para adaptarlas a su organización e incorporar las habilidades adecuadas para impulsar el progreso.
La combinación adecuada de analistas humanos y virtuales debería ser la piedra angular. Desde la perspectiva del hiperescalador, el análisis forense automatizado y la corrección de los errores de configuración serán fundamentales.
Está claro que a medida que el panorama actual de amenazas y la incidencia de ciberataques costosos y disruptivos se multiplican y evolucionan, no hay tiempo que perder en la adopción de un enfoque SOAR avanzado para las capacidades de detección y respuesta.