Con la creciente exageración sobre la inteligencia artificial (IA), los líderes de seguridad se encuentran en una encrucijada. Están buscando formas de aprovechar al máximo las innovadoras herramientas de ciberseguridad impulsadas por IA para los Centros de Operaciones de Seguridad (SOC). Sin embargo, siguen enfrentando desafíos reales, como la avalancha de alertas de seguridad entrantes, la escasez de talento y la necesidad de lidiar con amenazas de seguridad de manera efectiva.
En esta guía, exploraremos los pasos prácticos para automatizar procesos y desarrollar una estrategia de SOC autónomo. Este enfoque ayudará a abordar la escasez de talento en los equipos de seguridad al emplear inteligencia artificial y aprendizaje automático. Estos sistemas pueden simular los procesos de toma de decisiones e investigación de analistas humanos.
En primer lugar, definiremos los objetivos de una estrategia de SOC autónomo y consideraremos los procesos clave que podrían automatizarse. Luego, examinaremos diferentes productos de IA y automatización, y finalmente, revisaremos ejemplos de cómo estas herramientas podrían integrarse en una estrategia de SOC autónomo.
‘
El objetivo de la estrategia de SOC autónomo es automatizar el proceso de triaje de alertas, desde la investigación hasta la resolución, con el fin de reducir el riesgo al manejar la mayor cantidad posible de alertas sin intervención humana.
Es importante tener en cuenta que el propósito de una estrategia de SOC autónomo no es reemplazar a las personas en el equipo de seguridad, sino complementar el enfoque integral de «personas, procesos y tecnología». Esta estrategia debería trabajar para las personas, mejorando sus capacidades y ampliando la capacidad del equipo, en lugar de reemplazarlas.
Reconociendo la diversidad de cada SOC, es fundamental identificar y priorizar los flujos de trabajo que son candidatos para la automatización, especialmente aquellos que generan cuellos de botella o consumen tiempo. Estos incluyen tareas manuales repetitivas que representan oportunidades clave para la automatización.
Algunos de estos procesos clave para automatizar incluyen el monitoreo continuo de alertas, la recopilación de evidencia, el análisis de IA, la clasificación de alertas y la generación de informes. La automatización de estos pasos permite filtrar alertas eficientemente, escalando solo aquellas que requieren análisis humano, lo que a su vez reduce el tiempo dedicado a falsos positivos.
A nivel práctico, la selección de las herramientas adecuadas es esencial para implementar una estrategia de SOC autónomo. Entre estas herramientas se encuentran los productos de Seguridad Orquestada, Automatizada y de Respuesta (SOAR), productos de SOC autónomos y asistentes de IA para consultas durante investigaciones.
Por último, consideraremos ejemplos de cómo estas estrategias se implementan en entornos de seguridad específicos, como equipos SOC internos, proveedores de Detección y Respuesta Gestionada (MDR) y organizaciones con estrategias de SOC autónomo ya establecidas.
En esencia, los productos de SOC autónomos ofrecen tres beneficios significativos: reducción de riesgos, enfoque en amenazas reales y capacidades de escalamiento para alertas críticas.
Intezer, reconocido por su enfoque impulsado por IA en la seguridad, ha lanzado su propia Plataforma de SOC Autónomo. Esta solución ha demostrado su eficacia en la clasificación de alertas y la automatización de procesos de SOC de Nivel 1, atrayendo a clientes destacados, desde empresas Fortune 500 hasta proveedores de servicios de seguridad gestionada.
En resumen, la inteligencia artificial y la automatización son elementos clave en el futuro de la seguridad cibernética. Al integrar estas tecnologías en las operaciones de seguridad, las organizaciones pueden mejorar la eficacia, eficiencia y capacidad de respuesta de sus equipos de seguridad.
Vía The Hacker News
