Mejora de los manuales de respuesta a incidentes con aprendizaje automático

Toda empresa debe tener un plan general de respuesta a incidentes que establezca un equipo de respuesta a incidentes, designe a los miembros y describa su estrategia para reaccionar ante cualquier incidente de ciberseguridad.

Sin embargo, para actuar de manera consistente en esa estrategia, las empresas necesitan manuales: guías tácticas que guíen a los socorristas a través de la investigación, el análisis, la contención, la erradicación y la recuperación de ataques como ransomware, un brote de malware o compromiso del correo electrónico empresarial. Las organizaciones que no siguen un manual de seguridad con frecuencia sufrirán incidentes más graves, dice John Hollenberger, consultor senior de seguridad del grupo de Servicios Proactivos de Fortinet. En casi el 40% de los incidentes globales que maneja Fortinet, la falta de guías adecuadas fue un factor que contribuyó a la intrusión en primer lugar.

"Muy a menudo hemos descubierto que, si bien la empresa puede tener las herramientas adecuadas para detectar y responder, no había procesos en torno a dichas herramientas, o estos eran inadecuados", dice Hollenberger. Incluso con manuales, dice, los analistas todavía tienen que tomar decisiones complejas basadas en los detalles del compromiso. Y añade: “Sin el conocimiento y la previsión de un analista, se puede adoptar un enfoque equivocado o, en última instancia, obstaculizar los esfuerzos de respuesta”.

Como era de esperar, las empresas y los investigadores intentan cada vez más aplicar el aprendizaje automático y la inteligencia artificial a los manuales, como obtener recomendaciones sobre qué pasos tomar al investigar y responder a un incidente. Se puede entrenar una red neuronal profunda para superar los esquemas heurísticos actuales, recomendando los siguientes pasos automáticamente en función de las características de un incidente y manuales representados como una serie de pasos en un gráfico, según un artículo publicado a principios de noviembre por un grupo de investigadores de la Universidad Ben-Gurion del Negev y el gigante tecnológico NEC.

Los investigadores de BGU y NEC sostienen que la gestión manual de manuales de estrategias puede resultar insostenible a largo plazo.

"Una vez definidos, los manuales están codificados para un conjunto fijo de alertas y son bastante estáticos y rígidos", afirmaron los investigadores en su artículo. “Esto puede ser aceptable en el caso de los manuales de investigación, que tal vez no necesiten cambiarse con frecuencia, pero es menos deseable en el caso de los manuales de respuesta, que tal vez deban cambiarse para adaptarse a las amenazas emergentes y a las novedades, anteriormente alertas invisibles”.

Las reacciones adecuadas requieren manuales

La automatización de la detección, la investigación y la respuesta a eventos son dominios de los sistemas de orquestación, automatización y respuesta de seguridad (SOAR), que, entre otras funciones, se han convertido en repositorios de guías para usar en la variedad de circunstancias que enfrentan las empresas durante una crisis de ciberseguridad. evento.

"El mundo de la seguridad se enfrenta a probabilidades e incertidumbres; los manuales de estrategia son una forma de reducir una mayor incertidumbre mediante la aplicación de un proceso riguroso para obtener resultados finales predecibles", afirma Josh Blackwelder, director adjunto de seguridad de la información de SentinelOne, y añade que los resultados repetibles requieren la Aplicación automatizada de playbooks a través de SOAR. "No existe una forma mágica de pasar de alertas de seguridad inciertas a resultados predecibles sin un flujo de proceso lógico y coherente".

Los sistemas SOAR se están volviendo cada vez más automatizados, como su nombre indica, y la adopción de modelos AI/ML para agregar inteligencia a los sistemas es el siguiente paso natural, según los expertos.

La empresa de detección y respuesta gestionada Red Canary, por ejemplo, utiliza actualmente IA para identificar patrones y tendencias que son útiles para detectar y responder a amenazas y reducir la carga cognitiva de los analistas para hacerlos más eficientes y efectivos. Además, los sistemas de IA generativa pueden facilitar la comunicación de un resumen y los detalles técnicos de los incidentes a los clientes, afirma Keith McCammon, director de seguridad y cofundador de Red Canary.

"No usamos la IA para hacer cosas como crear más guías, pero la estamos usando ampliamente para hacer que la ejecución de guías y otros procesos de operaciones de seguridad sean más rápidos y efectivos", afirma.

Con el tiempo, los manuales de estrategias podrán automatizarse completamente mediante redes neuronales de aprendizaje profundo (DL), escribieron los investigadores de BGU y NEC. “[Nuestro] objetivo es ampliar nuestro método para admitir un proceso completo de extremo a extremo donde, una vez que el sistema SOAR recibe una alerta, un modelo basado en DL maneja la alerta e implementa respuestas apropiadas automáticamente, creando dinámica y autónomamente en manuales de estrategias instantáneos y, por lo tanto, reducir la carga de los analistas de seguridad”, escribieron.

Sin embargo, dar a los modelos AI/ML la capacidad de administrar y actualizar manuales debe hacerse con cuidado, especialmente en industrias sensibles o reguladas, dice Andrea Fumagalli, director senior de orquestación y automatización de Sumo Logic. La empresa de gestión de seguridad basada en la nube utiliza modelos basados ​​en IA/ML en su plataforma y para encontrar y resaltar señales de amenazas en los datos.

"Según múltiples encuestas que hemos realizado con nuestros clientes a lo largo de los años, aún no se sienten cómodos con que la IA adapte, modifique y cree guías de manera autónoma, ya sea por razones de seguridad o de cumplimiento", afirma. "Los clientes empresariales quieren tener control total sobre lo que se implementa como procedimientos de respuesta y gestión de incidentes".

La automatización debe ser totalmente transparente y una forma de hacerlo es mostrando todas las consultas y datos a los analistas de seguridad. "Esto permite al usuario verificar la lógica y los datos que se devuelven y validar los resultados antes de pasar al siguiente paso", dice Blackwelder de SentinelOne. "Creemos que este enfoque asistido por IA es el equilibrio adecuado entre los riesgos de la IA y la necesidad de acelerar la eficiencia para adaptarse al panorama de amenazas que cambia rápidamente".

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better