Ciberseguridad

De la fatiga de alertas a la inteligencia accionable: Cómo el IA está redefiniendo el SOC

mm
Publicado el
Actualizado el

El centro de operaciones de seguridad (SOC) está llegando a un punto de quiebre. El agotamiento de los analistas ha sido un riesgo crítico durante mucho tiempo, pero el problema solo empeora. De hecho, el 73% de las organizaciones encuestadas recientemente por Cybersecurity Insiders y Gurucul dicen que están sufriendo de agotamiento y escasez de personal persistente. Los volúmenes de alertas están aumentando, las amenazas están proliferando y los analistas están atascados utilizando herramientas heredadas y fragmentadas.

Es simplemente demasiado para que los humanos solos puedan seguir el ritmo, lo que significa que el IA está pasando rápidamente de ser un lujo a una necesidad estratégica.

La crisis en los SOCs de hoy

Mientras que la tasa de agotamiento en el SOC está bien documentada, la situación no ha mejorado aún, así que no se puede decir suficientemente: los analistas están al límite de sus posibilidades. Están luchando con desafíos cada vez más difíciles que incluyen:

  • Fatiga de alertas – No solo hay demasiadas alertas, sino que los falsos positivos están aumentando, y eso hace que sea difícil y poco eficiente responder a la avalancha de manera efectiva. De hecho, según la encuesta mencionada anteriormente, el 88% de los líderes de ciberseguridad dijo que el volumen de alertas ha aumentado; el 46% informa un aumento de más del 25% en el último año.
  • Amenazas nuevas y en evolución – El panorama de amenazas está cambiando constantemente, y el IA está equipando a los actores maliciosos con nuevas herramientas que les permiten llevar a cabo más amenazas, más rápido. El abuso de credenciales y los riesgos internos agregan más complejidad.
  • Falta de visibilidad y brechas en las herramientas – La encuesta encontró que el 96% de las empresas admiten tener puntos ciegos significativos. La infraestructura en la nube (74%) y el comportamiento de identidad y acceso (67%) son las principales preocupaciones.
  • Brecha de habilidades y rotación – La brecha de habilidades en ciberseguridad sigue siendo un desafío para la industria en general, y las altas tasas de agotamiento significan una alta tasa de rotación. Necesitas capacitar a los analistas de nivel 2 (L2) y superiores a través del sistema, pero si se están agotando en el nivel 1 (L1), eso no puede suceder. Se necesita mucho tiempo y esfuerzo para encontrar, contratar, capacitar y retener a los empleados, así como mantener un banco de talentos de reemplazo, solo para mantener el ritmo con la rotación.

 Introduciendo el IA en la mesa

El IA y la automatización ofrecen un gran potencial para el SOC. No es de extrañar que el 81% de las organizaciones en la encuesta mencionada anteriormente dijera que estaban desplegando o pilotando herramientas de IA para el SOC. Y aquellos que están utilizando estas herramientas a su máximo potencial están experimentando resultados importantes: el 60% de los adoptantes dijo que han visto una reducción del 25% (o más) en los tiempos de investigación, y el 21% ve reducciones superiores al 50%.

El IA transforma la fatiga de alertas en inteligencia accionable ayudando con:

  • Reducción de ruido – Con el IA en el SOC, las organizaciones ganan correlación y priorización impulsadas por el IA
  • Investigaciones más rápidas – El IA y la automatización ayudan con la triage, la recopilación de contexto y la respuesta
  • Empoderamiento de los analistas – El tiempo de los analistas se libera para centrarse en actividades de mayor valor

La brecha de ejecución

El IA ofrece un gran potencial para mejorar el SOC, pero aquí está el problema: solo el 31% de los encuestados están utilizando estas herramientas en los flujos de trabajo de detección y respuesta básicos. Mientras que el interés es alto, hay una brecha de ejecución.

Hay obstáculos para la operacionalización completa del IA. Uno de ellos es el desafío de integración. La infraestructura heredada y la herramientas fragmentadas también pueden hacer que sea difícil adoptar nuevas tecnologías. Otra preocupación es la transparencia y la explicabilidad; ¿cómo se entiende por qué se toman decisiones con el IA?

El segundo obstáculo se centra en la confianza que los analistas necesitan tener en los sistemas en los que deben confiar. La confianza es un requisito esencial para la madurez del IA. Solo el 9% de los participantes en la encuesta informaron estar “muy seguros” de las alertas y recomendaciones generadas por el IA. Otro 33% “confían en gran medida” en los resultados del IA pero quieren revisarlos, y el 41% cree que el IA es útil en general pero aún necesita validación continua.

El tercer obstáculo es la gestión del cambio. Las organizaciones están luchando con la brecha de habilidades y las nuevas necesidades de capacitación que pueden hacer que sea difícil adoptar nuevas tecnologías y utilizar el IA a su máximo potencial. También hay resistencia cultural; una mentalidad de “Bueno, siempre lo hemos hecho de esta manera, así que ¿por qué cambiar?”

Superar los obstáculos para el éxito del SOC

Comience con proyectos piloto que entreguen un retorno rápido de la inversión. Correlacione la identidad y el comportamiento, no solo los eventos. Debido a las brechas de visibilidad en el comportamiento de identidad y acceso, el xx% de los encuestados, según la encuesta mencionada anteriormente, que a menudo son explotados, las plataformas de IA necesitan hacer más que el análisis de registros para determinar qué personas y dispositivos están realizando acciones en los sistemas. El contexto comportamental de este tipo es crucial para encontrar amenazas sofisticadas impulsadas por la identidad.

Eliminar los obstáculos para el éxito del SOC requiere varios pasos. Primero, priorice el IA explicativo para la transparencia y la confianza. El IA explicativo, transparente, la triage y las investigaciones con contexto y pasos de remediación detallados ayudan a los analistas de nivel 1 (L1) a aprender rápidamente, a realizar a un nivel más alto y a mejorar rápidamente las habilidades.

En segundo lugar, capacite a los analistas para la caza de amenazas de mayor valor y las iniciativas estratégicas (como Zero Trust). El IA no está diseñado para reemplazar a los humanos; está diseñado para complementarlos. Esa es una distinción importante para entender y es clave para tener éxito con el IA en el SOC. Mantenga a un humano en el bucle hasta que se establezca la confianza, luego deje que el IA maneje las tareas de seguridad mundanas y de bajo impacto y escalonice el resto.

En tercer lugar, trate al IA como una estrategia central del SOC, no como un accesorio o un después, sino como parte de un enfoque integral y bien pensado.

Es hora de adoptar el IA en el SOC

Los SOCs enfrentan una crisis creciente a medida que el volumen de alertas aumenta, el agotamiento de los analistas empeora y las amenazas basadas en la identidad proliferan. Las defensas heredadas no pueden seguir el ritmo de las amenazas que imitan el comportamiento legítimo y operan pacientemente detrás de escena, trabajando “bajo y lento”. El IA capacita a los equipos del SOC para reducir la fatiga de alertas, superar la sobrecarga de datos y ayudar a investigar basado en el contexto. Necesita encontrar sus puntos ciegos antes de que ocurra una violación, no durante o después. Evalúe las capacidades, los desafíos actuales y la visión estratégica de su SOC e identifique dónde el IA puede ayudar hoy – y dónde puede contribuir a crear una postura de seguridad más resiliente a largo plazo.

mm

Chris Scheels, Vicepresidente de Marketing de Producto en Gurucul ha estado alineando a las personas, los procesos y la tecnología para impulsar a las empresas durante más de 20 años. Tiene una década de experiencia en ciberseguridad en marketing y gestión de productos. Su pasión es ayudar a las empresas a tener éxito a través del uso estratégico de la tecnología. Recientemente, estuvo ayudando a los clientes a acelerar su viaje de confianza cero en Appgate, Inc. Su experiencia también incluye experiencia en operaciones, ventas y desarrollo de nuevos negocios.