Durante las dos últimas décadas, las metodologías de detección y respuesta a las amenazas a través de las personas, los procesos y la tecnología se han basado en gran medida en las firmas, las anomalías y las reglas para identificar y derrotar a los ciberdelincuentes en sus campañas de infiltración y exfiltración. Pero a medida que las empresas cambian a entornos híbridos y multinube y digitalizan las identidades, las cadenas de suministro y los ecosistemas, estos enfoques solo dan lugar a más ruido de alertas, triaje y falsos positivos.
Muy pocas veces las organizaciones saben dónde están las brechas de su seguridad. Y esto es una gran ventaja para los atacantes, que continuamente eluden la prevención, sortean las firmas, se ocultan e infiltran y progresan lateralmente dentro de una entidad para causar estragos.
Los responsables de la seguridad, riesgo y cumplimiento se están enfrentando a cada vez más retos: más superficie de ataque que cubrir; atacantes más evasivos y sofisticados; más herramientas y más conjuntos de datos para analizar; más firmas, anomalías y reglas que mantener; más ruido de alertas, triaje y falsos positivos; y más fatiga de los analistas, agotamiento y rotación de personal.
Pero a pesar de contar con más herramientas, datos, firmas, políticas, reglas, alertas y personas, el problema central sigue siendo el mismo: no sabemos dónde estamos comprometidos ahora mismo.
Amenaza desconocida
La amenaza desconocida es el resultado de la capacidad de un atacante para eludir la prevención, sortear las firmas, ocultarse e infiltrarse y progresar lateralmente dentro de una organización para causar estragos. Sostenemos que este es el mayor riesgo para las organizaciones hoy en día y que está creando complejidad, ruido y agotamiento en materia de seguridad.
Los atacantes están a los mandos, y para quitárselos debemos eliminar la amenaza desconocida. El reto es saber: ¿cómo cubrir más superficie de ataque sin añadir más complejidad? ¿Cómo detectar atacantes más evasivos sin crear más reglas y ruido? ¿Cómo garantizar que los defensores mantengan el ritmo sin quemarlos?
Durante más de una década, Vectra AI ha estado investigando, desarrollando, siendo pionera y patentando la Inteligencia Artificial (IA) de seguridad centrada en eliminar lo desconocido. Lo llamamos inteligencia de señales de ataques, y cuando se aprovecha permite a los defensores pensar como un atacante, en sus tácticas, técnicas y procedimientos (TTP); centrarse en los verdaderos ataques activos para reducir el ruido y el agotamiento; y saber lo que es crítico para enfocarse en las amenazas que importan (basadas en el riesgo).
A diferencia de otros enfoques que se centran en la simple detección de anomalías y que requieren un ajuste y mantenimiento humano, la inteligencia de señales de ataques de Vectra AI expone la narrativa completa de un ataque. Esto se consigue mediante la monitorización continua de las TTP de los atacantes, ejecutando modelos predefinidos en tiempo real para detectar y correlacionar estas y sacar a la luz automáticamente las amenazas más importantes para el negocio.
Mayor resistencia
La inteligencia de señales de ataques significa que su organización es más resistente a los ataques, ya que puede ponerse en marcha con una señal de ataque procesable en pocas horas o incluso en minutos, preparar su ciberdefensa para el futuro a medida que su superficie de ataque se amplía y contar con refuerzos mediante los servicios de detección y respuesta gestionadas Vectra MDR.
La inteligencia de señales de ataques también implica que los procesos y flujos de trabajo sean más eficientes. El motivo es que reduce los costes de los sistemas de gestión de eventos e información de seguridad y la creación y mantenimiento de reglas de detección, automatiza las tareas manuales de los analistas y el tiempo de investigación y respuesta y optimiza las inversiones existentes en sistemas de detección y respuesta de amenazas de puntos finales, de organización, automatización y respuesta de la seguridad y de administración de servicios de TI.
Por último, cabe destacar que la inteligencia de señales de ataques supone, asimismo, que los analistas de seguridad sean más eficaces debido a que reduce su desgaste con la detección precisa de verdaderos ataques activos, aumenta su rendimiento al acelerar la investigación y la respuesta y se incrementa la experiencia y las habilidades de los analistas para cazar y defenderse de los ataques avanzados.
Seguridad híbrida
Ya nos estamos moviendo en el nuevo universo digital, representado por el trabajo híbrido, la nube híbrida y la seguridad híbrida. El hilo conductor es el uso de la tecnología para armar la inteligencia humana, la colaboración y la productividad.
La seguridad híbrida consiste en aprovechar la IA para dotar a los analistas de seguridad (humanos) de la inteligencia necesaria para adelantarse de forma colaborativa y productiva a los ciberatacantes modernos.
La IA se utiliza para encontrar y priorizar eficazmente los ataques ocultos en tiempo real dentro de los servicios en la nube como Microsoft Office 365, Azure AD, la nube, el centro de datos, Internet de las Cosas y las redes empresariales antes de que los atacantes causen un daño irreparable a la organización. Una plataforma basada en IA permite a los equipos de seguridad detectar los ataques antes, en sus primeras fases, garantizando que las aplicaciones esenciales para la continuidad del negocio estén disponibles y accesibles para toda la fuerza de trabajo repartida en diferentes lugares.
Por su parte, la ciberseguridad basada en la IA proporciona muchos beneficios a las empresas y a sus equipos de TI y seguridad existentes. Algunos de los de mayor valor son que la Inteligencia Artificial permite procesar un volumen de datos mucho mayor, que ayuda a llenar el vacío de los equipos de ciberseguridad más pequeños o con menos recursos y que proporciona una protección más consistente y a más largo plazo para las organizaciones.
No en vano, las ciberamenazas son omnipresentes en la sociedad moderna. La buena noticia es que ahora los analistas de seguridad tienen a su disposición las soluciones necesarias para identificar, predecir, responder y aprender sobre posibles riesgos a la ciberseguridad, sin depender de la intervención humana.