Nos encontramos en pleno auge de la IA, con prácticamente todas las empresas interesadas en implantar esta tecnología, ya sea para automatizar procesos, mejorar la experiencia del cliente o analizar tendencias que faciliten la toma de decisiones.
Pero la IA también se está revelando como un factor clave en la protección de las organizaciones. En el ámbito de la ciberseguridad, su aplicación está permitiendo prevenir, detectar y dar respuesta a amenazas a una velocidad y escala impensables hace tan solo unos meses, y en los centros de operaciones de seguridad (SOC) más avanzados, ya se están incorporando diferentes casos de uso basados en IA.
Antes de profundizar en esos casos, es conveniente recordar que un servicio de detección y respuesta se apoya en tres pilares fundamentales. El primero son las fuentes de telemetría, es decir, los registros y eventos que generan los distintos dispositivos y sistemas de la organización. Sobre esa base actúa el SIEM, que recopila datos heterogéneos, los normaliza y los correlaciona para identificar patrones relevantes y escalar, únicamente, aquellas alertas que requieren atención. El tercer bloque es el SOAR, la capa de respuesta, donde se investigan esas alertas con información adicional y se determina si se trata de un falso positivo o si es necesario actuar, siempre valorando la proporcionalidad: no tendría sentido dejar sin conexión a toda una empresa porque un usuario haya introducido mal su contraseña tres veces.
Estos tres bloques son los que se consideran básicos y dentro de ellos es posible englobar las diferentes herramientas de CTI, EDR o NDR, que aportan mayor contexto de los eventos y alarmas, enriqueciendo la información y permitiendo una decisión más precisa y efectiva.
Partiendo de esta información, podemos ver cómo es posible aplicar la IA en distintas fases del diagrama de bloques de un SOC.
Triaje automatizado de alertas
En este caso, el operador del SOC puede interactuar con un Chatbot utilizando lenguaje natural. El Chatbot irá solicitando información al operador sobre el evento y, dependiendo de las respuestas, recomendará, en tiempo real, las acciones a tomar.
En este caso, el Chatbot estará entrenado con todos los procedimientos operativos (playbooks) del SOC, lo que le permitirá guiar al operador a través de ellos de forma rápida y eficaz. Los beneficios son claros: mayor rapidez en la fase detección de amenazas y ataques, automatización en la generación de respuestas y uso de lenguaje natural.
Detección de amenazas y anomalías
Es un caso de uso más avanzado y para SOCs maduros, en el que se utiliza la IA para automatizar la detección de eventos. Aquí, la inteligencia artificial se encarga de correlacionar eventos distantes en el tiempo y de enriquecer los casos con información de diferentes fuentes para identificar, por ejemplo, indicadores de compromiso (IOC) o indicadores de ataque (IOA).
La búsqueda continua de amenazas es muy importante, pero en función del entrenamiento de la IA, podremos estar ante únicamente la automatización de casos de uso del SOC, donde las capacidades se multiplican al poder buscar eventos distantes y aparentemente aislados y correlacionarlos, o podremos estar ante un SOC que añada, además, un componente de comportamiento para detectar patrones maliciosos.
Respuesta automática
En este caso de uso, en el que la IA es capaz de dar una respuesta proporcional a una alerta escalada desde un nivel inferior, es necesario que el SOC se encuentre en una fase muy madura.
A la hora de determinar una respuesta proporcional, es posible que la IA incorpore fuentes adicionales, por ejemplo, CTI (credenciales filtradas), para poder establecer el riesgo y por tanto, la mejor forma de responder al incidente.
La madurez del SOC en este punto es clave, ya que la respuesta a aplicar puede variar de una empresa a otra, incluso de un endpoint a otro dentro de la misma compañía.
Beneficios de incorporar IA en un SOC
En la incorporación de la IA a un SOC destacan tres beneficios clave:
- Automatización de tareas repetitivas. La IA puede hacerse cargo de procesos mecánicos y de bajo valor, reduciendo la carga de trabajo de los equipos y minimizando errores derivados del cansancio o la presión operativa.
- Mayor velocidad y precisión en la detección. Los modelos son capaces de identificar patrones genéricos y ataques comunes con una rapidez muy superior a la humana.
- Incremento de la eficiencia. En un contexto de escasez de profesionales cualificados, la IA actúa como un multiplicador de capacidad. Permite que el mismo equipo gestione más alertas, investigue más casos y mantenga un nivel de vigilancia continuo.
Es verdad que la incorporación de inteligencia artificial a un SOC aporta beneficios evidentes, pero también es necesario insistir en que la supervisión humana sigue siendo imprescindible. Por mucho que la IA multiplique la capacidad operativa, hoy en día, solo el criterio de un analista experto puede garantizar que su uso resulte seguro, ético y eficaz.
Riesgos asociados al uso de IA en un SOC
Como cualquier tecnología crítica, la IA introduce riesgos que deben gestionarse con rigor, entre los que destacan:
- Exposición de datos sensibles. El uso de modelos que requieren grandes volúmenes de información, puede implicar la transferencia de datos de clientes y derivar en incumplimientos normativos.
- Ataques dirigidos a los modelos de IA. Las técnicas de envenenamiento de IA permiten a un atacante manipular los datos de entrenamiento o entrada para inducir errores en el modelo.
- IA sin control. La IA no es infalible. Puede cometer errores, malinterpretar señales o generar respuestas inconsistentes. Por ello, la supervisión humana debe ser constante.
Está claro que la IA puede aportar mucho a los servicios de detección y respuesta, y que en función de la madurez del SOC, podrá aplicarse de diferentes formas y ofrecer resultados y beneficios distintos.
Es necesario tener también presente que la IA puede aportar mucho en casos de uso genéricos, pero que cuando se trata de adaptarse a las necesidades específicas de una organización, es recomendable adoptar un enfoque más conservador en el uso de la IA y apoyarse en los conocimientos y experiencia de operadores y analistas de ciberseguridad, para que puedan encargarse de verificar y chequear el correcto funcionamiento del sistema.
