En este blog aprenderás cómo las operaciones de seguridad (SecOps) han evolucionado de reactivas a proactivas. Más información sobre los retos de los procesos manuales y por qué se necesitan expertos en seguridad. ¿Cómo puede la inteligencia artificial (IA) vencer estos retos? ¿Están adoptando las empresas la inteligencia artificial? ¿Qué ventajas promete y aporta la inteligencia artificial a las SecOps?
Durante mucho tiempo, el Security Operations Center (SOC) fue una enorme sala con grandes pantallas que mostraban constantemente mensajes de alerta. Los equipos de seguridad se sentaban frente a estas pantallas y vigilaban y analizaban constantemente las alertas. Los SOC se diseñaron originalmente para organizaciones gubernamentales y de defensa, y se ocupaban principalmente de las alertas de red. Después se añadieron Intrusion Detection Systems (IDS), cortafuegos, protección antivirus, etc. Las operaciones de seguridad evolucionan constantemente para seguir el ritmo de las crecientes amenazas. Por ejemplo, en 2005 se introdujo la Security Information and Event Management (SIEM) para optimizar la detección y respuesta ante amenazas (Incident Detection and Response).
A medida que los ciberriesgos evolucionaron, en particular las amenazas persistentes avanzadas (APT), las herramientas para combatirlas también mejoraron. A partir de 2016, el mercado experimentó el auge de los servicios de Managed Detection and Response (MDR) con modernas funciones de detección de amenazas. Hoy en día, las operaciones de seguridad ya no funcionan de forma reactiva, sino proactiva. A principios de 2024, tecnologías como la automatización y la IA están plenamente integradas en las SecOps. Tecnologías como la IA ayudan a las empresas a mantener una visión de conjunto, procesar mejor los datos y eliminar eficientemente las amenazas.
He aquí algunos retos para las operaciones de seguridad tradicionales.1
De un Security Operations Center (SOC) moderno se espera no solo que garantice la seguridad, sino también que cumpla los requisitos de conformidad, información y capacitación. Con sistemas de seguridad anticuados, los analistas de seguridad enfrentan demasiados retos operativos: por ejemplo, están constantemente inundados de alertas.
Cuando se trata de ciberseguridad, el contexto es siempre crucial. Las operaciones de seguridad se basan fundamentalmente en la implementación de inteligencia contra amenazas que permite evitar riesgos. Sin embargo, la avalancha de información, las falsas alarmas y la falta de contexto contrarrestan el propósito de minimizar los riesgos.
Los analistas reciben miles de alertas cada día: he aquí algunos resultados de un estudio2:
Semejante avalancha de mensajes de alerta pone inevitablemente en aprietos a los analistas de seguridad. Por ejemplo, el 97 % de ellos teme perderse un mensaje de advertencia importante cuando es importante. Esto ocurrió en Target Corporation, una enorme empresa minorista de Estados Unidos. En 2013, Target fue víctima de una de las mayores violaciones de protección de datos de la historia, en la que le robaron los datos de las tarjetas de crédito y débito de unos 41 millones de clientes. Este ataque le costó a la empresa 18,5 millones de dólares por demandas judiciales y también le acarreó una mala reputación y un desplome de la cotización de sus acciones.
Sin embargo, lo que realmente da que pensar es el hecho de que, aunque el software de supervisión de Target (FireEye) emitió mensajes de advertencia, los expertos en seguridad no reaccionaron a ellos. Probablemente consideraron los avisos como falsas alarmas o de importancia secundaria y los ignoraron, ya que recibían cientos de estos mensajes cada día.3
Por qué es compleja la seguridad operacional de la información
Demasiadas alertas y solo unos pocos analistas de seguridad tratando de ocuparse de ellas son un reto importante. La raíz de este problema radica en la dependencia de procesos manuales. Un estudio realizado en 2023 demostró que el 81 % de los profesionales de operaciones de seguridad creen que las investigaciones manuales los ralentizan, pues deben iniciar la corrección manualmente.4 El mismo estudio también descubrió que el tiempo promedio para detectar y responder aumentó en los últimos dos años. Cada día los analistas dedican aproximadamente un tercio de su tiempo a investigar amenazas que no son reales.
El núcleo del problema es la falta de expertos en seguridad capaces de gestionar sistemas inmensos. El uso de tecnologías digitales y en la nube aumentó considerablemente, lo que incrementó la superficie de ataque. Sin embargo, el número de especialistas calificados en el área de la seguridad no ha aumentado en las dos últimas décadas. Forbes informa de que solo en 2023 estaban vacantes 3,5 millones de puestos de trabajo en ciberseguridad. Se tarda una media de 150 días en cubrir una vacante en el área de la seguridad.5 Los expertos en seguridad tienen la impresión de que su trabajo es más difícil que hace dos años. Las razones son la creciente complejidad, la superficie de ataque cada vez mayor, la necesidad constante de capacitación y actualizaciones, la presión presupuestaria y el estrés que supone cumplir las leyes.6
Al haber menos personal disponible, el tiempo necesario para reconocer, analizar y reaccionar es mayor para las personas. Existen otros retos, como el escalado de las operaciones, los errores humanos en la interpretación de los datos, la vigilancia permanente, la adaptabilidad a los cambios rápidos, etc. Por supuesto, hay escasez de mano de obra calificada, pero si se reduce la dependencia del ser humano, pueden resolverse la mayoría de los problemas asociados a las operaciones de seguridad. La automatización de los procesos y el uso de la IA pueden aliviar la presión de los equipos.
Ante la complejidad del entorno, las numerosas alertas y la rapidez de los ataques, las empresas ya no pueden confiar solo en las medidas de seguridad convencionales. Las operaciones de seguridad modernas deben ser capaces de reconocer patrones, reaccionar en tiempo real, obtener el contexto adecuado y garantizar la conformidad. Alrededor del 63 % de los empleados de los SOC creen que tecnologías como la IA y la automatización (o simplemente «automatización inteligente») pueden reducir considerablemente los tiempos de respuesta.7
La detección tradicional basada en signaturas ya no es suficiente, pues es incapaz de reconocer los nuevos ataques de día cero y de seguirle el ritmo a grandes volúmenes de malware. La IA puede ayudar al equipo de operaciones de seguridad a identificar tanto los ciberriesgos conocidos como los desconocidos, aunque no haya ninguna signatura disponible. La IA usa algoritmos de aprendizaje automático para analizar grandes cantidades de datos y detectar anomalías y patrones. La detección de phishing basada en reglas también está obsoleta, ya que no puede reconocer los correos electrónicos de phishing más recientes y desconocidos. La IA, por su parte, analiza la estructura del correo electrónico, el contenido y la interacción del usuario para detectar un posible intento de phishing.
Lo mismo se aplica al análisis de protocolos: Los análisis de protocolos de seguridad basados en IA pueden procesar enormes volúmenes en tiempo real, en comparación con los sistemas basados en reglas. La IA puede detectar no solo amenazas externas, sino también internas, como accesos no autorizados o transferencias de datos sospechosas.
La IA también proporciona una muy eficaz seguridad de red, ya que sus algoritmos pueden supervisar las redes, detectar patrones de tráfico inusuales, identificar dispositivos no autorizados o sospechosos en la red, etc. Las empresas pueden usar la IA para prevenir eficazmente las violaciones de datos y los incidentes de seguridad. Una característica clave de la IA es que aprende y mejora con el tiempo. A medida que surgen nuevas ciberamenazas, los modelos de IA pueden aprender de los nuevos datos para crear una defensa aún más sólida. En las empresas que usan servicios de MDR con protección de terminales basada en IA, los equipos de seguridad responden con mayor rapidez y eficacia. En resumen, el uso de la IA en las operaciones de seguridad aumenta la eficiencia, mejora la detección en tiempo real, aumenta la escalabilidad y hace la toma de decisiones más precisa.
La IA libera a los equipos de seguridad de tareas tediosas. Esto les permite concentrarse en tareas más críticas y complejas. Con la automatización inteligente se pueden optimizar tareas importantes, como la exploración de vulnerabilidades, gestión de parches, detección de amenazas y respuesta a incidentes. La IA recomienda medidas a tomar y ayuda a los equipos de seguridad en la defensa contra las amenazas. Las empresas que usan la IA se benefician del rápido procesamiento de datos de diversas fuentes, el reconocimiento de patrones y el etiquetado de ciberamenazas en tiempo real. Las empresas que invirtieron en IA ahorraron alrededor de 108 días de tiempo de respuesta en casos de violación de la protección de datos, en comparación con las que no lo hicieron.8
La optimización de las tareas repetitivas permite reducir considerablemente la necesidad de intervenciones manuales frecuentes. La necesidad de personal «adicional» para tareas rutinarias se reduce o incluso se elimina por completo. Además, gracias a la información precisa sobre amenazas, los analistas de seguridad no tienen que perder demasiado tiempo investigando falsas alarmas. Al mejorar los índices de detección, los recursos pueden destinarse a tareas más importantes.
Al reducir el tiempo de respuesta a incidentes se pueden evitar grandes ataques, violaciones de la protección de datos o ransomware, entre otros, que de otro modo podrían provocar pérdidas financieras, multas, demandas judiciales, daños a la reputación, etc.
Para comprender el éxito de la implementación de operaciones de seguridad basadas en IA, las empresas deben prestar atención a las siguientes métricas:
Funciones de XSIAM de Palo Alto Networks
Con nuestros servicios integrales de MDR ayudamos a las empresas a mejorar las operaciones de seguridad, reducir los riesgos de seguridad y aumentar su sin comprometer su transformación digital. Nuestros servicios de usan tecnologías modernas basadas en IA, como Cortex XSIAM de Palo Alto Networks. Con la ayuda de las funciones de IA podemos recopilar datos de más fuentes, correlacionar mejor las distintas alertas y reducir el número de alertas de alta prioridad. Esto, a su vez, reduce el tiempo necesario para una solución de días a minutos. Se elimina el tiempo innecesario dedicado a investigar alertas de baja prioridad o falsas alarmas.
Funciones de XSIAM de Palo Alto Networks:
T-Systems y pueden optimizar tus operaciones de seguridad existentes sin que tengas que hacer grandes inversiones en herramientas de seguridad ni rediseñar todo tu SOC. Mejora la seguridad de tu empresa y aumenta la ciberresiliencia frente a los ataques modernos.
Con nuestros servicios de MDR basados en IA:
Contáctanos ya si deseas optimizar tus SecOps o usar nuestros servicios de MDR para mejorar la seguridad de tu empresa.
1 SANS 2023 SOC Survey, 2023, Medium
2 Security Alert Article, Help Net, 2023, Security
3 Target Data Breach Case Study, 2023, Card Connect
4 Global SOC Study Results, 2023, IBM
5 Cybersecurity Skills Gap, 2023, Forbes
6 The Life and Times of Cybersecurity Professionals, 2023, Enterprise Strategy Group
7 Global SOC Study Results, 2023, IBM
8, 9 Costs of Data Breach Report, 2023, IBM