Cómo la IA permite un SOC autónomo con mínima intervención humana
Los centros de operaciones de seguridad (SOC) se han enfrentado a retos continuos para la detección y la respuesta a amenazas durante años. Estos retos incluyen la distinción entre señales de seguridad genuinas y ruido de fondo, un contexto inadecuado para la investigación de alertas, la falta de automatización de extremo a extremo, los cuellos de botella en el flujo de trabajo y la fatiga por alertas, por nombrar solo algunos.
Llevo años diciendo que las operaciones de seguridad, o la gestión de ciberamenazas en cualquier forma, tienen que sufrir un cambio importante, como el de las compañías aéreas comerciales a mediados del siglo XX: las máquinas vuelan aviones comerciales y los pilotos intervienen en situaciones limitadas. Del mismo modo, el nuevo SOC ejecutaría operaciones autónomas con una participación humana mínima.
Los analistas de SOC se convertirían entonces en pilotos de SOC, eligiendo dónde y cuándo participar, mientras que la máquina virtual maneja las operaciones estándar.
Boletín del sector
Las últimas novedades sobre tecnología, respaldadas por conocimientos de expertos
Manténgase al día sobre las tendencias más importantes e intrigantes del sector en materia de IA, automatización, datos y mucho más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
La ciberseguridad es la única que se enfrenta al enigmático fenómeno del "día 0": vulnerabilidades recién descubiertas en software o hardware, no detectadas previamente por la comunidad de seguridad. Este concepto encapsula la imprevisibilidad que rodea la aparición de la próxima amenaza, incluida su fuente, momento y metodología.
Cuando se materializan las incertidumbres, los pilotos del SOC (analistas humanos) asumen el mando, utilizando su experiencia para contrarrestar y neutralizar estas nuevas amenazas.
Entonces, ¿por qué no tenemos ya SOC que puedan funcionar con una intervención humana mínima? Durante años, los proveedores de software de seguridad han estado impulsando la automatización en sus productos. Los equipos de los SOC han ampliado los límites de la automatización, desarrollando a veces soluciones de cosecha propia para acelerar y aumentar la eficacia de la detección y respuesta a las amenazas. Pero los SOC necesitan algo más que automatización. Necesitan autonomía digital.
La inteligencia artificial (IA) puede reproducir los procesos humanos de toma de decisiones. Esta tecnología puede facilitar un cambio transformador en las operaciones de ciberseguridad, especialmente en las operaciones de seguridad rutinarias.
La detección de amenazas ya utiliza capacidades de IA como el machine learning (ML). Diversas tecnologías SOC utilizan ML para tareas que van desde identificar amenazas hasta categorizar alertas, gracias a la Integración por parte de los principales proveedores de software. Sin embargo, la automatización de las operaciones de seguridad está sujeta a ciertas limitaciones.
La mayoría de los equipos de operaciones de seguridad tienen reglas de enfrentamiento, que requieren cierto grado de certeza antes de su ejecución. Esta certeza explica por qué la automatización es común en sistemas cerrados como los sistemas de detección y respuesta de endpoints (EDR). Tanto el software del endpoint como la consola están familiarizados con todas las variables relevantes y pueden automatizar las respuestas de forma eficaz.
Un especialista en seguridad en un gran hiperescalador ofrece un ejemplo práctico. Su empresa requiere una participación mínima del SOC debido a su profundo conocimiento de todas las tecnologías y activos de su pila. Su configuración funciona esencialmente como un sistema cerrado, lo que permite una amplia automatización.
Para las organizaciones que no cuentan con estos sistemas cerrados, en particular las empresas que se ocupan de los sistemas de gestión de eventos e información de seguridad (SIEM), el escenario es diferente. Aquí, una guía de estrategias de orquestación, automatización y respuesta de seguridad (SOAR) gestiona la automatización.
Por ejemplo, se puede programar una guía de estrategias de respuesta automática para poner en cuarentena un host si no es un servidor y está ejecutando actividades maliciosas reconocidas. Sin embargo, esta automatización no puede activarse a menos que se conozca la identidad del activo, por ejemplo, si se trata de un servidor crítico o de una estación de trabajo.
El contexto es primordial en la automatización de las funciones de seguridad, y aquí es donde brillan los analistas humanos del SOC. A través de la recogida manual, el juicio y el análisis de datos tipo "silla giratoria", proporcionan el contexto necesario para que la automatización funcione eficazmente en sistemas abiertos. Las operaciones de silla giratoria deben dar paso al nuevo paradigma de las operaciones autónomas multiagente.
Entre en el marco autónomo y multiagente. Los servicios de ciberseguridad de IBM utilizan la IA para comprender la necesidad de contexto, recopilar contexto, decidir y permitir que la automatización complete o gestione por completo la automatización, incluso omitiendo el SOAR.
Nuestro orquestador de trabajo digital, la máquina autónoma de operaciones de amenazas (ATOM), desarrolla una lista de tareas para la investigación de una alerta. Si ATOM determina que el contexto del activo es inadecuado, utiliza otros agentes de IA para recopilar la información que falta.
Para seguir con nuestra analogía de la silla giratoria, cuando ATOM detecta un contexto de activo que falta, actúa. Interactúa de forma proactiva con agentes asociados a la gestión de vulnerabilidades, la gestión de la exposición, las bases de datos de gestión de la configuración (CMDB) y los sistemas EDR o de detección y respuesta ampliadas (XDR) para recopilar ese contexto.
A continuación, ATOM determina que un activo específico, basándose en su nombre de host y su ubicación en la red, se ajusta a los patrones típicos de las estaciones de trabajo, y concluye que se trata efectivamente de una estación de trabajo. Este razonamiento es el mismo tipo de lógica que aplicaría un analista humano.
Después de que ATOM toma la decisión contextual, formula una respuesta única a esa alerta específica. Por ejemplo, puede determinar si una llamada de interfaz de programación de aplicaciones (API) a una consola EDR (detección y respuesta de endpoints) es el mejor curso de acción o si un flujo de trabajo debe volver al sistema SOAR.
Aún se desconoce si la IA permitirá al personal del SOC ocupar el puesto de piloto del SOC. Sin embargo, las capacidades de trabajo digital orquestadas están más cerca de lo que se necesita para las operaciones SOC autónomas que cualquier tecnología con la que hayamos trabajado antes en IBM. Aunque la transición completa a los SOC totalmente autónomos aún no se ha hecho realidad, el camino hacia este modelo de SOC eficiente y de intervención humana mínima está significativamente avanzado con la llegada de la IA agéntica.
Este importante cambio promete revolucionar la gestión de las amenazas al permitir a los equipos de seguridad dar prioridad a las iniciativas estratégicas en lugar de verse agobiados por tareas repetitivas. A medida que la IA continúa evolucionando, esperamos un futuro en el que nuestros SOC no solo estén automatizados, sino verdaderamente autónomos, listos para tomar vuelo y dejar lo mundano a las máquinas.
Recursos
Permita a los desarrolladores crear, implementar y monitorizar agentes de IA con el estudio IBM watsonx.ai.
Cree una productividad sin precedentes con uno de los conjuntos de capacidades más completos del sector para ayudar a las empresas a crear, personalizar y gestionar agentes y asistentes de IA.
Ahorre más de un 90 % en costes con los modelos más pequeños y abiertos de Granite, diseñados para la eficiencia de los desarrolladores. Estos modelos listos para uso empresarial ofrecen un rendimiento excepcional frente a los puntos de referencia de seguridad y en una amplia gama de tareas empresariales, desde la ciberseguridad hasta RAG.