AI SecOps: implementación y mejores prácticas
Las operaciones de seguridad, o SecOps, son la culminación de procesos individuales que evitan las vulnerabilidades y la intrusión de riesgos en los activos empresariales confidenciales. Esto es ligeramente diferente del Centro de operaciones de seguridad (SOC), que es la unidad organizativa de personas que supervisa y previene los incidentes de seguridad.
Esta distinción es importante porque SecOps apunta a integrar los procesos de seguridad dentro del flujo de operaciones, mientras que los SOC tradicionales separan la seguridad de la TI, aislando básicamente los procesos de seguridad. Es por eso que los SOC modernos a menudo implementan SecOps, como una forma de equilibrar la prevención de amenazas con capacidades dedicadas de respuesta a incidentes.
Dado que SecOps debe acompañar los flujos de trabajo cotidianos de TI y OT (y no interferir en ellos), la automatización de SecOps es una parte esencial de la estrategia. Este artículo analiza cómo está evolucionando la IA en SecOps, los casos de uso de la IA en SecOps y las mejores prácticas para implementar la IA en SecOps.
SIEM de próxima generación
Stellar Cyber Next-Generation SIEM, como componente crítico dentro de la plataforma Stellar Cyber Abrir XDR...
¡Experimente la seguridad impulsada por IA en acción!
Descubra la IA de vanguardia de Stellar Cyber para una detección y respuesta instantáneas a amenazas. ¡Programe su demostración hoy!
Introducción a AI SecOps
SecOps es un enfoque que ha ganado un apoyo considerable en las organizaciones preocupadas por la seguridad. El SecOps de cada organización debe adaptarse a la disposición única de activos digitales, infraestructura y datos confidenciales de la organización, al igual que la empresa crece y se adapta a los cambios del mercado a lo largo del tiempo. Debido a que SecOps integra medidas de seguridad a lo largo del ciclo de vida de las operaciones de TI, también debe incorporar seguridad en cada etapa del desarrollo y las operaciones.
Para lograrlo, el SOC necesita una visibilidad continua y profunda de los dispositivos, redes y puntos finales de prácticamente todos los usuarios: se trata de una cantidad de datos abrumadora. Parte de la razón por la que los equipos del SOC solían estar aislados de sus homólogos de TI y desarrolladores era la gestión de todos estos datos. En los niveles de analistas, los equipos del SOC también necesitaban una gran cantidad de herramientas para extraerlos y agruparlos. Las herramientas de gestión de eventos e información de seguridad (SIEM), los firewalls y la detección y respuesta de puntos finales (EDR) ayudaron a procesar estos datos y convertirlos en información significativa.
La IA en las operaciones de seguridad ahora puede ingerir datos de seguridad al mismo ritmo que se producen. Como resultado, el aprendizaje automático (y su nueva IA generativa) es responsable de convertir SecOps en un proceso continuo, lo que permite que las operaciones de seguridad sigan el ritmo de los cambios de TI y desarrollo. Además, como las plataformas impulsadas por IA brindan más opciones de automatización que nunca, la evolución de SecOps se está orientando hacia pilas de tecnología optimizadas, menor complejidad y mayor retorno de la inversión.
Casos de uso de IA en SecOps
Detección de amenazas con menos falsos positivos
Los modelos de IA prosperan con grandes conjuntos de datos: con la IA, las cantidades de alertas que antes podían abrumar a un equipo de seguridad ahora se pueden procesar, contrastar y utilizar para detectar otras. Esto contrasta drásticamente con el enfoque tradicional de detección de amenazas, que simplemente apilaba herramientas de seguridad unas sobre otras.
Esta es la situación Una empresa financiera con sede en EE.UU. Se encontraba en una situación en la que los analistas del SOC debían iniciar cada operación de seguridad analizando las enormes cantidades de datos adjuntos a cada alerta. Y como la empresa tenía múltiples herramientas de seguridad, tenían que identificar manualmente la misma alerta en cada consola y seguir individualmente cada pista para determinar la validez de la alerta y el daño potencial.
Debido a que la IA puede procesar todos los datos sin procesar de registros, redes y dispositivos que se incluyen en el disparador de alerta de una herramienta, puede correlacionar esa alerta con las acciones correspondientes en la red, el dispositivo o la cuenta en cuestión. El resultado son muchas menos alertas falsas y, en caso de un incidente de seguridad genuino, la IA puede colocar las alertas dentro del contexto de una cadena de ataque más amplia.
Respuesta automatizada a incidentes
Los manuales de estrategias son la piedra angular de las capacidades de respuesta automatizada: permiten que equipos ágiles como los de la Departamento de TI de la Universidad de Zúrich Implementar rápidamente determinadas funciones de monitorización y respuesta ante alertas específicas. Por ejemplo, en caso de que se produzca un incidente que afecte a los puntos finales de un departamento, se podrá notificar al responsable de TI correspondiente.
La automatización puede permitir que los equipos reducidos brinden cobertura las 24 horas del día, los 7 días de la semana, incluso si no cuentan con la mano de obra necesaria para tener analistas de guardia todo el tiempo. La automatización se hace accesible a través de manuales de estrategias, que indican exactamente qué pasos de solución debe realizar la herramienta de IA en respuesta a ciertos tipos de alertas e incidentes.
Alertas priorizadas y detección de amenazas habilitada por IA
Debido a que los modelos de IA pueden entrenarse a partir de ataques históricos (y pueden tener un conocimiento actualizado de toda la pila de activos de una empresa), pueden categorizar las alertas según el radio de explosión potencial. Esto reduce drásticamente la carga que se impone a los procesos manuales de SecOps que, de otro modo, exigirían largas y arduas horas de trabajo para establecerse.
La categorización de alertas ocupaba gran parte del tiempo. El tiempo de un gobierno municipal – En este caso, se esperaba que cada analista utilizara su propia herramienta de seguridad, lo que dejaba importantes lagunas que los vectores de ataque complejos podían explotar. La clasificación asistida por IA les permitió reducir drásticamente la carga de trabajo manual que se le exigía a cada analista, lo que les permitía llegar al fondo de un incidente en 10 minutos, en lugar de varios días.
Sin embargo, saber realmente dónde y cómo implementar la IA en SecOps es a menudo el primer obstáculo para la implementación.
Mejores prácticas para implementar IA en SecOps
Defina objetivos mensurables para la implementación de su IA
Los objetivos SMART hacen que el mundo gire, y el enfoque en la mensurabilidad es clave para definir e implementar con éxito una nueva herramienta de IA. Para extraer el mejor retorno de la inversión posible, lo mejor es comenzar por identificar qué procesos de SecOps ocupan la mayor parte del tiempo de sus analistas.
Puede tratarse de una herramienta específica (como un SIEM) o de una métrica más amplia, como el tiempo medio de respuesta (MTTR). Puede ser un paso del flujo de trabajo que los analistas o el personal de TI deben seguir después de que una alerta llega a su bandeja de entrada; lo importante es identificar con precisión qué componente está causando la mayor ralentización. Este proceso creará una imagen exacta de qué función deberá cumplir una herramienta de IA: si un problema importante gira en torno al descubrimiento de activos, entonces la integración de un firewall de IA tal vez no sea la mayor prioridad.
También es mejor comenzar a hacer de esto un esfuerzo colaborativo. Involucrar a los altos ejecutivos y a otros tomadores de decisiones ejecutivos es vital para lograr un cambio duradero, y ellos pueden ayudar a TI y seguridad a visualizar los cambios organizacionales necesarios.
Integre la IA en sus herramientas y flujos de trabajo existentes
Las tecnologías de IA prosperan en entornos ricos en datos, pero necesitan poder extraer esos datos de algún lugar. Las integraciones personalizadas pueden ser difíciles y llevar mucho tiempo, por lo que, al analizar soluciones basadas en IA, evalúe su capacidad para integrarse con sus herramientas actuales. Es extremadamente raro que una organización tenga que empezar de cero. A veces, si su SIEM, EDR o firewall ya está funcionando bien (y las ralentizaciones se deben a los recursos limitados de los propios analistas), es mejor complementar su SIEM con IA, en lugar de realizar un reemplazo.
En este sentido, no olvide que la IA requiere una gran cantidad de datos de seguridad. Si está creando un conjunto de datos desde cero, deberá invertir en la creación de una infraestructura de datos sólida y resistente, junto con estrictos protocolos de gobernanza. Una infraestructura sólida requiere implementar soluciones de almacenamiento seguro, optimizar las capacidades de procesamiento de datos y establecer sistemas de transmisión de datos eficientes para respaldar la detección y respuesta ante amenazas en tiempo real. Por otro lado, un producto de terceros administra todos estos datos por usted, pero asegúrese de confiar en el proveedor.
Adapte el equipo de SecOps para utilizar un sistema impulsado por IA
Si bien la herramienta de IA debe ser flexible, debe realizar algunos cambios en el trabajo diario de los analistas; para eso está. Los equipos afectados deben saber qué cambios implicará esto y cómo deberían ser sus propios flujos de trabajo. Dado que SecOps ya exige una formación integral en operaciones de seguridad, ya deberían estar familiarizados con los marcos de políticas y procedimientos. De la misma manera, la actualización de la IA debe desglosar los procesos en acciones mensurables y una guía clara.
Dicho esto, tenga en cuenta las habilidades y la experiencia de los miembros actuales de SecOps: si hay algunos miembros nuevos del equipo que todavía están ganándose el reconocimiento, considere elegir herramientas de IA que sean accesibles y que los guíen a través de las acciones automatizadas o los procesos de alerta que realizó. Esto les permite desarrollar su propia confianza al abordar las amenazas. La transparencia también genera más confianza entre el equipo humano y el motor de análisis de IA, al tiempo que permite que el criterio de la IA se ajuste con el tiempo.
Desarrollar manuales de estrategias
Los manuales de estrategias son la base de la implementación de la seguridad de la IA y, si bien una herramienta de IA puede venir con algunos manuales preestablecidos, se recomienda crear o modificar los suyos propios, según el caso de uso específico que necesite.
Por ejemplo, si un equipo se ocupa de muchas comunicaciones externas por correo electrónico, es importante crear algunos manuales para gestionar específicamente la amenaza de phishing por correo electrónico. En este caso, una plataforma de IA central detecta la gramática o los metadatos sospechosos de un correo electrónico de phishing, lo que luego activa el manual asociado. En este caso, el manual aísla automáticamente el correo electrónico (o el propio punto final si hay evidencia de vulneración) y luego activa un restablecimiento de contraseña. Se envía un mensaje al administrador de seguridad correspondiente, que recibe toda esa información empaquetada en una sola alerta. Los manuales que necesita su modelo de IA dependen de la configuración y las responsabilidades de su propia organización.
En conjunto, estas mejores prácticas de SecOps impulsadas por IA garantizan una transición fluida a SecOps impulsado por IA, al tiempo que ofrecen el máximo retorno de la inversión.
Cómo Stellar Cyber mejora las operaciones de seguridad con inteligencia artificial
Detección automática de incidentes
Stellar Cyber elimina la dependencia de la detección manual de amenazas y la identificación de amenazas basada en reglas con Múltiples capas de IA.
La primera de estas IA se centra en la detección: el equipo de investigación de seguridad de Stellar Cyber crea y entrena modelos supervisados utilizando una combinación de conjuntos de datos disponibles públicamente y generados internamente. Las amenazas de día cero y desconocidas se pueden detectar mediante modelos de aprendizaje automático paralelos no supervisados. Estos modelos establecen una línea de base del comportamiento de la red y del usuario a lo largo de varias semanas. Una vez que se ingieren las señales de datos, una IA basada en GraphML correlaciona las detecciones y otras señales de datos, vinculando automáticamente los puntos de datos relacionados para ayudar a los analistas. Evalúa la fuerza de la conexión entre diferentes eventos analizando las propiedades, el tiempo y los patrones de comportamiento.
Otras formas de IA se basan en estas capacidades de descubrimiento básicas y aportan más accesibilidad y capacidades de respuesta a las organizaciones impulsadas por Stellar Cyber.
Hacer que SecOps sea accesible
Todos los datos de seguridad en tiempo real de una organización están representados en dos formatos principales: el primero en la cadena de seguridad ubicada en el panel de control, y el segundo a través de Copilot.
El panel de control de XDR Kill Chain funciona como la página de inicio predeterminada de Stellar Cyber y ofrece una vista centralizada del riesgo general y las amenazas detectadas. Permite realizar evaluaciones rápidas al brindar información detallada sobre incidentes activos, activos de alto riesgo y tácticas de ataque. Este enfoque simplificado ayuda a los equipos de seguridad a priorizar los problemas críticos, sin importar cuáles sean los puntos focales individuales que luego se pueden analizar en profundidad.
Por otro lado, Copilot AI es un investigador basado en LLM que acelera los proyectos de análisis de amenazas de los analistas al brindar respuestas instantáneas a las consultas. Esto lo hace perfecto para la recuperación y explicación rápida de datos, integrando aún más la herramienta dentro de los proyectos SecOps.
Visibilidad omni-superficie
Stellar Cyber ingiere registros y datos de seguridad a través de múltiples tipos de sensores. Los sensores de red y seguridad recopilan metadatos de conmutadores físicos y virtuales mientras agregan registros para una visibilidad integral. Su inspección profunda de paquetes (DPI) analiza las cargas útiles al ritmo adecuado. Los sensores de servidor, por otro lado, pueden recopilar datos de servidores Linux y Windows, capturando tráfico de red, comandos, procesos, archivos y actividad de aplicaciones. Se espera compatibilidad total con Windows 98 y posteriores, y distribuciones Linux como Ubuntu, CoreOS y Debian.
La plataforma se ubica dondequiera que se necesite visibilidad: ya sea basada en la nube, híbrida o totalmente local (o basada en inquilinos), Stellar Cyber incorpora datos desde cualquier lugar.
Inteligencia artificial de respuesta avanzada
Las capacidades de respuesta de Stellar Cyber amplían la integración de la herramienta con las herramientas de seguridad existentes: en lugar de simplemente ingerir datos, Stellar puede tomar acciones automáticamente a través de esas mismas herramientas.
Dado que Stellar se centra en una implementación rápida, viene con 40 manuales de búsqueda de amenazas prediseñados que cubren toda la superficie de ataque, como fallas de inicio de sesión de Windows, análisis de DNS y Microsoft 365. Esto hace que la detección y respuesta ante amenazas sea más accesible, incluso para equipos sin una gran experiencia en seguridad.
Stellar Cyber se integra perfectamente con firewalls, seguridad de endpoints, herramientas de gestión de identidad y acceso, sistemas de emisión de tickets y aplicaciones de mensajería para escalar las operaciones de seguridad. Para necesidades de orquestación más avanzadas, admite la integración con las principales plataformas SOAR para una respuesta a amenazas optimizada y eficiente. Las empresas impulsadas por Stellar Cyber disfrutan de un control granular sobre los desencadenantes, las condiciones y el resultado de cada manual de estrategias, lo que les permite seguir de cerca y de manera ordenada las mejores prácticas de SecOps. Los manuales de estrategias se pueden implementar a nivel mundial o por inquilino.
Explorar Stellar Cyber AI SecOps
Plataforma de Stellar Cyber Simplifica la adopción de IA en SecOps al centrarse en una implementación rápida. Permite a las empresas lograr operaciones de seguridad más efectivas y eficientes sin un proceso de implementación largo o bloqueado por el proveedor. Sus capacidades de automatización están disponibles de manera inmediata: para explorar el entorno y las capacidades de Stellar Cyber, programa una demostración.
