Inteligencia Artificial (IA) y Machine Learning (ML) para la Detección y Respuesta ante Incidentes de Ciberseguridad
- Publicado por System Administrador
- Categorías Ciberseguridad
- Fecha 24/03/2021
- Comentarios 0 comentarios
El uso de las tecnologías emergentes y los sofisticados ataques realizados por los ciberdelincuentes en la actualidad, nos obliga a dejar de lado la idea de trabajar la detección de amenazas bajo firmas, heurística, reglas, sandboxing, entre otros similares. Tenemos que evaluar la adopción de tecnologías de automatización, Inteligencia Artificial (IA) y Machine Learning (ML), pues han demostrado su eficacia a la hora de combatir amenazas avanzadas y otros eventos de Ciberseguridad bajo analítica predictiva.
Por otro lado, con la generalización del teletrabajo, los atacantes desarrollarán técnicas con funcionalidades avanzadas para no solo propagarse por las redes domésticas, sino para buscar dispositivos conectados que indiquen el uso de servicios corporativos.
En este sentido, las tecnologías de IA y ML permiten a los analistas responder a amenazas con mayor confianza y velocidad.
Consideraciones para evaluar su adquisición:
- Asegurar que la tecnología use algoritmos avanzados y sea capaz de clasificar e interpretar una intencionalidad humana de manera desasistida, es decir, debe comprender con precisión lo que es normal y lo que es anormal dentro de la organización en un momento dado y detectar las amenazas en tiempo real o mientras se encuentran en desarrollo.
- Automatizar la clasificación de alertas, la tecnología debe validar previamente y darle una clasificación de gravedad, así mismo debe estar asociada a las tácticas, técnicas y procedimientos (TTP’s) de un Framework elegido por la organización (MITRE ATT&CK, Cyber Kill Chain, Diamond Model, entre otros.) para proporcionar inteligencia clara y procesable a los analistas.
- La inteligencia de amenazas debe ser precisa y completa, la tecnología debe combinar la inteligencia de amenazas de importantes y reconocidas fuentes de inteligencia con las amenazas más recientes y maliciosas observadas en el mundo.
- Mitigar los falsos positivos integrando contextos por evento, la tecnología debe combinar sus capacidades de IA y ML con la finalidad de enriquecer el contexto del evento, agregando información clave para la investigación, tales como la identidad del usuario, metadata de activos, información de red, geolocalización, contexto de amenazas, entre otros.
- Incorporar respuesta automatizada (playbooks), la tecnología debe incorporar playbooks predefinidos y customizados a la necesidad de la organización, con el objetivo de prevenir incidentes de Ciberseguridad, minimizar el impacto y los tiempos de atención.
- Playbooks basados en las mejores prácticas con respuesta guiada, la tecnología debe incluir playbooks dinámicos alineados a entidades reconocidas por la industria (SANS, NIST, entre otros.) que contengan flujos de trabajo que proporcionen a los analistas una respuesta guiada asegurando que obtenga información correcta en el momento adecuado.
- Integración flexible a tecnologías de Ciberseguridad, la tecnología debe ser capaz de integrarse con la infraestructura de Ciberseguridad de la organización con la finalidad de responder de forma automática desde su consola central.