CSO
Administrar SOC no es algo bonito. Esta actividad involucra estrés constante debido a una avalancha de tickets y una gran cantidad de datos que analizar utilizando herramientas a menudo desactualizadas y en ocasiones anticuadas, combinadas con un personal de alta rotación y baja moral. Es comprensible que en ese ambiente todos busquen un milagro. Cualquier tecnología nueva que tenga la capacidad de automatizar un análisis y detectar anomalías llama la atención sobre la seguridad de las operaciones. Con tanta expectativa entorno a la IA, esto representa una excelente tentación para iniciar su adopción temprana.
Antes de decidirte a adoptar cualquier nueva herramienta de análisis, debes hacer un análisis de los costos frente a los beneficios. El costo no necesariamente significa el dinero gastado en la adquisición, implementación y administración de una nueva solución, sino más bien el uso de recursos adicionales y la latencia adicional que la solución va a introducir.
El principal problema que enfrentan muchos SOC es el volumen de la actividad analítica, ya sea debido a la definición deficiente de desencadenantes de investigación o la baja calidad de los datos introducidos. Esto dará como resultado múltiples falsos positivos que reducirán el tiempo del analista y disminuirán la moral del equipo debido a una rutina inútil.
Hay una verdad en el argumento de que los sesgos cognitivos que afectan a los analistas pueden dar como resultado que se pierdan o descarten incidentes de seguridad reales. Sin embargo, una solución de reconocimiento de patrones automatizada no aborda ninguna de las causas principales.
La IA, como tecnología de reconocimiento de patrones, es un paso evolutivo de las tecnologías de aprendizaje automático de última generación, como el análisis de comportamiento y el crudo análisis estadístico aplicado a principios de siglo. La gran ventaja de la inteligencia artificial sobre las tecnologías de última generación es un aprendizaje más rápido y menos datos necesarios para el mismo. Esto, sin embargo, no significa que la IA pueda tomar una decisión inteligente mejor que un analista humano.
Hay tres cosas que debemos tener en cuenta al evaluar la generación actual de soluciones de IA:
Lea también:“La inteligencia artificial está en pañales”
1. Estas soluciones emplean una inteligencia artificial estadística, en lugar de una conductual
Se basa en la optimización de la retro propagación, un método en el que se usan “pesos” o ajustes lineales para ajustar cada una de las variables independientes que se utilizan para evaluar los datos de entrada. La idea es crear una ecuación para determinar qué tan cerca están los datos evaluados del patrón predefinido y proporcionar una respuesta con cierto grado de seguridad. Hay varios problemas con este enfoque, el más grande es la cantidad garantizada de falsos positivos, sin importar cuán bueno sea el algoritmo de reconocimiento de patrones. Esta es una de las razones por las que algunos científicos de la IA piden deshacerse de la propagación inversa como base para la inteligencia artificial estadística.
2. La calidad de los datos sigue siendo extremadamente importante para el aprendizaje de la inteligencia artificial
La última generación de productos de análisis de comportamiento dependía en gran medida de la calidad de los datos en el ciclo de aprendizaje inicial y la inteligencia artificial no es tan diferente a eso. Un producto basado en la IA puede reconocer las anomalías como “normales” a través de dos mecanismos: la ingestión de datos incorrectos durante el ciclo de aprendizaje y el ajuste manual por parte de un usuario que marque algo como un falso positivo. Si tienes problemas con la calidad de los datos en la información que ingieres en tus problemas de análisis de seguridad, estos pueden amplificarse con el uso de IA, lo que resulta en una mayor carga analítica para el personal.
Le recomendamos:Oracle lanza un Mapa del Internet
3. LaIA no tomará una decisión binaria: sí/no
Si no que más bien decidirá con cierto grado de incerteza que identificó algo (que se ajusta a los modelos preestablecidos). Esto significa que tu equipo necesita establecer un umbral de incertidumbre que minimice la cantidad de falsos positivos (elevada utilización del personal), manteniendo al mismo tiempo el falso positivo (incidente de seguridad al realizar una tarea) lo más cercano posible a cero.
Una vez que el producto basado en la IA ha identificado un patrón sospechoso por encima de su umbral, el equipo de SOC será contratado para un análisis posterior que puede derivar en investigación y posiblemente en la gestión de incidentes. Estas son las etapas en las que aún se basará en el análisis humano que está sujeto a numerosos sesgos cognitivos. La eliminación del reconocimiento de patrones falsos en el análisis de rutina tiene solo un efecto limitado ya que el riesgo permanece durante las actividades de investigación.
Teniendo en cuenta todo lo anterior, la IA solo introducirá una mejora marginal en el análisis de seguridad tanto del rendimiento como de la calidad y la utilización de los recursos. La única forma de aumentar la utilidad de la IA es aumentar la efectividad del análisis de seguridad al abordar sus debilidades.
La calidad de los datos introducidos es el mayor problema para el análisis de seguridad. A menudo, la seguridad se aprovecha de la supervisión empresarial para la recopilación de datos. Esto se traduce en una extracción de datos innecesarios, datos faltantes y poco detallistas que no sirven para tomar una decisión automática correcta. Además, los flujos de datos carecen de una ingestión sincronizada disponible casi en tiempo real, mientras que otros datos llegan en lotes en períodos de tiempo predefinidos. La discrepancia en el enfoque de recopilación de datos significa que parte de la correlación de datos no puede ejecutarse o se retrasa significativamente.
No existe una única solución al problema de la calidad de los datos que no sea el análisis individual de cada uno de los flujos de datos, tratando de imponer la estandarización y la coherencia. Esto también requiere una colaboración con equipos operativos no relacionados con la seguridad que a menudo es más débil de lo que se desea en muchas empresas.
El aumento de la calidad de los datos generará un aumento significativo tanto en las plataformas analíticas basadas en inteligencia artificial como en la eficacia general de los análisis de seguridad. Para una mayor mejora, concéntrate en la salida que desencadena la investigación y la respuesta al incidente. La interpretación y validación de los resultados analíticos automáticos o manuales por parte de la investigación o el equipo de respuesta a incidentes requieren eliminar los riesgos de las decisiones sesgadas.
La mejor forma de hacerlo es a través del análisis colaborativo, donde múltiples analistas verían los datos y resultados desde múltiples perspectivas (es decir, la red vs. Sistema vs. El comportamiento de la aplicación). Esto significa revisar los procesos de respuesta y los manuales de estrategias, así como también invertir en una plataforma de gestión de incidentes que pueda rastrear y coordinar las tareas de análisis y presentar los resultados a todos los miembros del equipo para su posterior revisión y escrutinio.
Las tecnologías basadas en la IA continuarán evolucionando y proporcionarán un valor significativo a lo largo del tiempo. Por ahora, concéntrate en mejorar tu práctica analítica de seguridad como ejercicio de preparación para la adopción de la IA.
Comentários