Connect with us

Líderes de opinión

Cómo el IA está impulsando el SOC del futuro

mm
Published
A professional security analyst working in a modern, high-tech Security Operations Center (SOC) with multiple monitors displaying AI-driven data visualizations and neural network interfaces.

El centro de operaciones de seguridad (SOC) tradicional está experimentando un cambio importante, impulsado principalmente por la integración del IA. Casi el 90% de las organizaciones ahora utilizan tecnologías de IA, con una aplicación significativa en la detección de amenazas, la respuesta y la recuperación de incidentes. Sin embargo, solo el 27% tiene una detección de amenazas completamente automatizada, lo que indica una brecha en la realización del potencial completo de la IA. Para mantener el ritmo, los líderes de seguridad deben aprovechar estratégicamente la IA para construir el SOC del futuro.

Cómo el IA aumenta los equipos de SOC y integra las cargas de trabajo

El IA puede ayudar a los analistas de seguridad a redefinir sus roles y empoderarlos para centrarse en iniciativas estratégicas de mayor valor. Los defensores pueden cambiar de un modo reactivo constante a un trabajo que reduce el riesgo y eleva el valor de las operaciones de seguridad en el negocio.

Hemos hablado con frecuencia sobre productos en el SOC, como la Gestión de Información y Eventos de Seguridad (SIEM), la Orquestación y Respuesta Automatizada de Seguridad (SOAR) y el Análisis de Comportamiento de Usuarios y Entidades (UEBA), que son componentes básicos de las operaciones del SOC. Estos a veces están mal ensamblados en flujos de trabajo, lo que resulta en un Frankenstein de dificultades de interoperabilidad y una carga mental innecesaria para los analistas. Sin embargo, las conversaciones modernas ahora se centran en capacidades en lugar de productos, especialmente ya que el IA está ayudando a reducir la fatiga de conmutación al actuar como un tejido conectivo.

El IA no se detiene en conectar herramientas existentes; también es un gran impulsor de productividad. Puede coautorizar libros de juego con un analista, ahorrándoles el trabajo básico de crear otra respuesta automatizada desde cero. El IA también puede resumir un incidente, sacando la información más relevante de lo presentado y dando al analista una ventaja inicial.

Cuando los equipos de SOC aprovechan los agentes de IA en sus flujos de trabajo, se benefician de una contención aún más rápida, una respuesta escalada, una capacidad adicional y una reducción del trabajo manual. Por ejemplo, los agentes de IA que pueden auto-triunfar y eliminar los falsos positivos dan a los analistas una ventaja inicial al trabajar en una cola de tickets. Pero no se trata solo de eficiencia o productividad; el IA puede aportar nuevas capacidades al SOC que anteriormente eran herramientas externalizadas. Por ejemplo, la ingeniería inversa, donde el IA puede averiguar cómo funciona un malware en particular para dar a los equipos de seguridad una comprensión de lo que podría haber sucedido en un ataque. Estas herramientas también pueden realizar un análisis más profundo que la automatización durante una investigación, asegurando que gran parte de ese trabajo preparatorio esté completado antes de que el analista revise un incidente.

Conectar estos herramientas de IA se volverá vital para los SOC, ya que los actores de amenazas están aprovechando el IA, y el ritmo del juego del gato y el ratón se acelera.

Los beneficios de un SOC impulsado por IA

Cuando los equipos de SOC dedican todo su tiempo a responder a alertas o abordar incidentes, no tienen tiempo para contribuir a programas estratégicos que impulsan eficiencias en el SOC. Esto es perjudicial para el negocio, ya que la resiliencia del sistema digital impacta directamente la rentabilidad.

El IA desbloquea un cambio en la liberación de tiempo, al igual que la automatización lo hizo antes. Esto permite que los equipos de SOC se centren en iniciativas proactivas y estratégicas que impulsan el crecimiento empresarial, reducen el volumen de incidentes y crean más capacidad para inversiones adicionales.

Además de liberar tiempo para los equipos de SOC, el IA mejorará la calidad de la respuesta y ayudará a los equipos a responder más rápido. A medida que los atacantes utilizan cada vez más el IA para acelerar y escalar sus ataques, es esencial que los SOC modernos adopten capacidades similares.

Desarrollar un SOC impulsado por IA

Para establecer un SOC impulsado por IA, los líderes de ciberseguridad deben analizar primero las prácticas actuales del SOC para identificar las tareas que requieren más esfuerzo manual y luego acelerar esas tareas con IA. Los lugares comunes para comenzar incluyen:

Autorizar y gestionar detecciones: Muchos SOC ya aprovechan detecciones escritas por proveedores y las ajustan para satisfacer sus necesidades específicas. El IA puede mejorar aún más este proceso co-creando y autorizando nuevas detecciones. Más allá de crear y autorizar nuevas detecciones, el IA también puede aliviar a los analistas de la carga de gestionar el ciclo de vida de la detección. Cuando una detección deja de activarse o se vuelve demasiado ruidosa, el IA puede identificar el problema y sugerir refinamientos para mejorar la fidelidad de la detección. Por ejemplo, al igual que Netflix sugiere películas, el IA puede alimentar un motor de recomendación de detección que determina qué detecciones ofrecen la mejor cobertura, según sus datos y las amenazas que enfrenta.

Interpretar hallazgos: El IA puede dar a los analistas una ventaja inicial resumiendo y destacando la información clave de las alertas. Además de la enriquecimiento automático, que ahorra tiempo y evita tareas repetitivas y agotadoras, el IA puede identificar detalles importantes y sugerir los pasos siguientes más probables. Esto permite a los analistas retener el control, mientras ahorran minutos valiosos en cada investigación.

Ejecutar investigaciones: Para un SOC, la investigación colaborativa de posibles amenazas no es solo una función, es la misión principal. Las investigaciones efectivas dependen de tener datos de calidad para aplicar los análisis adecuados y tomar decisiones informadas. Aunque esto puede sonar básico, lograr este flujo de trabajo en todas las áreas comerciales es sorprendentemente desafiante. El IA puede mejorar las capacidades de investigación del SOC al manejar de forma autónoma partes de una investigación, como analizar muestras de malware, o acelerar métodos existentes, como buscar de manera eficiente patrones maliciosos similares en otros activos. Descargar estas tareas de los analistas sobrecargados de trabajo aumenta la capacidad del equipo y les permite centrarse en análisis complejos, investigación y remediación.

Borrador de informes de investigación: Los informes de investigación son a menudo tediosos y consumen mucho tiempo, pero son esenciales para el conocimiento corporativo, los registros históricos y el cumplimiento. Cuando son de alta calidad, estos informes incluso pueden servir como una valiosa fuente de datos para el IA, revelando patrones y tendencias de remediación comunes dentro del SOC. Sin embargo, escribirlos es típicamente largo, laborioso y aburrido. Esto es donde el IA puede brillar: puede recopilar rápidamente información y crear informes completos. ¿Es glamoroso? Quizás no. Pero ahorra 15-20 minutos por investigación; tiempo que se suma rápidamente.

Autorizar libros de juego: Los libros de juego automatizan los flujos de trabajo de seguridad, lo que permite a los analistas de seguridad dedicar más tiempo a investigar amenazas. Ofrecen beneficios significativos en términos de ahorro de tiempo, calidad de respuesta y coherencia. Además, los libros de juego sirven como una documentación clara de las respuestas correctas para escenarios específicos, una ventaja valiosa para los equipos de cumplimiento. Sin embargo, crear libros de juego efectivos lleva tiempo y refinamiento para asegurarse de que se activen adecuadamente en situaciones relevantes. Los analistas a menudo enfrentan tales presiones de tiempo que es difícil desarrollar estos recursos desde cero. Nuevamente, el IA puede ayudar a acelerar este proceso al generar y coautorizar libros de juego, lo que permite a los analistas evitar comenzar desde una página en blanco.

Establecer el SOC listo para el futuro

Aprovechar el IA dará a su SOC una ventaja significativa, liberando tiempo valioso para desarrollar una estrategia de seguridad y permanecer preparado para lo que venga a continuación. A medida que la complejidad aumenta, incluyendo ataques impulsados por IA, amenazas internas dirigidas y regulaciones de ciberseguridad en evolución, mantenerse por delante es más desafiante que nunca. Sin embargo, el SOC del futuro no se trata solo de estar listo para la batalla; se trata de construir resiliencia que dure, permitir la agilidad organizativa y fortalecer la línea de fondo y la reputación de su negocio.

Related Topics:
mm

Kirsty Paine (ella/she) es Asesora Estratégica en Tecnología e Innovación para la región EMEA de Splunk, donde brinda liderazgo de pensamiento técnico para cuentas estratégicas. Como tecnóloga experimentada, estratega y especialista en seguridad, ella prospera al entender problemas difíciles y encontrar soluciones creativas.