Vitalii Gulenok/istock via Getty
Se avecinan cambios en SecOps: ¿estás preparado?
Históricamente, los atacantes han tenido el tiempo de su lado, superando a los defensores, que han tenido dificultades para mantenerse al día. La IA agéntica parece dispuesta a cambiar las reglas del juego.
Estamos a punto de vivir el mayor cambio en la historia de las operaciones de seguridad. La IA agéntica está abriendo la puerta a un nuevo nivel de detección, análisis, investigación y respuesta automatizados ante las amenazas, y lo está haciendo a gran velocidad.
Hoy en día, la mayoría de los equipos de SecOps utilizan asistentes de IA integrados en herramientas y ecosistemas de seguridad específicos. Estos asistentes ya están ayudando a mejorar una gran cantidad de actividades de SecOps, como la puesta en marcha de la inteligencia sobre amenazas, la unión de señales a través de múltiples vectores de amenazas, la eliminación de falsos positivos, el resumen de incidentes y mucho más. Estas mejoras están aumentando la eficiencia y la eficacia de SecOps, lo que subraya el factor fundamental de la velocidad: la velocidad de detección, investigación y respuesta ante las amenazas, antes de que se produzcan daños.
Pero, más allá de la velocidad, la IA está mejorando la capacidad de comprender el alcance más amplio de los ataques y las medidas necesarias para prevenir futuros ataques. Por lo tanto, más allá de mejorar la función reactiva de SecOps, la aplicación de capacidades habilitadas por IA está mejorando las funciones de seguridad proactivas.
Estos primeros resultados son una prueba del poder de la IA para transformar radicalmente las operaciones de seguridad tal y como las conocemos hoy en día. He aquí el motivo: como profesionales de la seguridad, dedicamos nuestra vida a defender nuestra infraestructura digital de adversarios humanos que dependen de armas de destrucción digital masiva y están completamente equipados con ellas. En este “tiroteo digital”, nosotros, como defensores, también dependemos del uso de herramientas digitales para proteger, detectar, investigar y responder. Pero hay una diferencia significativa entre el panorama de los atacantes y el de los defensores.
Los atacantes tienen el tiempo de su lado. Tiempo para dedicar al reconocimiento, tiempo para preparar un entorno en el que llevar a cabo actividades maliciosas con mayor rapidez, y tiempo para manipular a personas desprevenidas para que entreguen información digital clave que pueda utilizarse para seguir atacando objetivos.
Como defensores, este elemento crítico del tiempo se ha visto limitado por nuestra necesidad de contar con personas que se dediquen a examinar las señales, elaborar hipótesis y desmontar y comprender las estrategias y vías de ataque. A continuación, debemos decidir en última instancia qué es real, qué es lo más importante y qué medidas son necesarias para mitigar un ataque o una amenaza. Estas actividades requieren mucho tiempo, lo que proporciona a los adversarios una ventaja continua para adelantarse a nosotros como defensores.
A pesar de estas funciones de razonamiento aparentemente irresolubles por máquinas y centradas en el ser humano, hemos estado aprovechando herramientas de automatización determinísticas para ayudar en el proceso. Sin embargo, el panorama infinito de amenazas siempre encuentra la manera de frustrar estos procesos.
La computación con IA ofrece un nuevo enfoque, no determinista, sino capaz de probar cantidades masivas de posibilidades a velocidades que los humanos nunca podrían alcanzar. Este volumen y velocidad pueden dar lugar a conclusiones más coherentes y fiables, a gran escala, en comparación con los procesos limitados y asistidos por humanos del pasado. Los resultados suponen un cambio revolucionario.
Introducción a la IA agéntica
A medida que se familiariza con el concepto de IA agéntica, piense en los numerosos casos de uso en los que podemos aprovechar el poder de la IA de forma totalmente automatizada. Esto no implica que estas aplicaciones vayan a funcionar completamente sin interacción humana, pero abre la puerta a un nuevo nivel de automatización. Cuando las aplicaciones tienen acceso a motores basados en IA, pueden llevar a cabo una gran cantidad de acciones de investigación para determinar el riesgo, el impacto y las medidas de contención necesarias para detener o contener un ataque.
Los primeros casos de uso de las herramientas de IA agéntica se centran en casos de uso específicos de SecOps. Considérelos como una oportunidad fácil de aprovechar para poner en práctica esta nueva estrategia y demostrar su valor. Este enfoque también nos ayuda a todos a empezar a comprender el poder y las posibles capacidades de esta tecnología incipiente y en fase inicial. Los primeros casos de uso incluyen la clasificación de alertas, la validación de alertas, el filtrado de falsos positivos, la investigación de correos electrónicos de phishing, la evaluación de vulnerabilidades y mucho más.
¿Quién proporcionará la tecnología de IA agéntica para SecOps?
Las empresas en fase inicial que se centran específicamente en SecOps –como Aurascape, Intezer, Prophet Security, DropZone, Simbian, Exaforce, Culminate, Radiant, Seven y muchas más– están ofreciendo productos llave en mano que pueden funcionar junto con el resto de la pila de herramientas SecOps. Y, por supuesto, los gigantes del sector de la seguridad, como Microsoft, Cisco, Google, Trend Micro y Palo Alto Networks, también están lanzando al mercado tecnología SecOps con IA agéntica como componentes integrados en las plataformas y arquitecturas existentes.
En esta fase, la mayoría se centra en casos de uso específicos. Por ejemplo, el anuncio de Microsoft del 24 de marzo sobre los primeros agentes Security Copilot destacó cinco casos de uso específicos, entre los que se incluyen la clasificación de phishing, la clasificación de alertas, los problemas de identidad de acceso condicional, la corrección de vulnerabilidades y la información/resumen de inteligencia sobre amenazas. Estos agentes están integrados en productos específicos de Microsoft, como Defender, Purview, Entra, Intune y Security Copilot.
Los agentes anunciados recientemente por Google se centran en dos casos de uso, entre los que se incluyen un agente de clasificación de alertas y un agente de análisis de malware. Los proveedores de automatización, como Tines y Torq, también están poniendo rápidamente en marcha la IA agéntica, ampliando las capacidades de automatización y los casos de uso que se pueden conectar al entorno SecOps.
El centro de operaciones de seguridad autónomo
Familiarícese con el término “SOC autónomo”, ya que aparecerá por todas partes a medida que las herramientas de automatización centradas en SecOps se equipen con nuevas capacidades habilitadas por IA. Las primeras áreas de interés incluirán la investigación de alertas, la priorización, el enriquecimiento de señales, la ingeniería inversa de scripts y mucho más.
La gran diferencia entre los asistentes o copilotos de IA y la IA agéntica es que las aplicaciones y herramientas de IA agéntica pueden realizar acciones de respuesta, lo que significa que pueden llevar a cabo actividades de contención de amenazas, enriquecimiento de datos, bloqueo de IP maliciosas, respuesta a informes de correos electrónicos de phishing y mucho más.
Pero, al igual que todas las capacidades basadas en la IA, habrá un periodo de adaptación, tanto en términos de comprender lo que es posible, como de establecer comportamientos fiables. Los primeros proveedores ven la necesidad de transparencia, lo que permite a los equipos de seguridad supervisar abiertamente los procesos, secuencias y vías de decisión de la IA agéntica. Establecer la confianza será un proceso largo, pero que avanzará rápidamente, demostrando su eficacia y precisión en cuestión de meses.
Es hora de aceptar el cambio en SecOps; un cambio como nunca antes se ha experimentado. Agárrense fuerte.
Dave Gruber es analista principal de Enterprise Strategy Group, ahora parte de Omdia, donde se ocupa de ransomware, SecOps y servicios de seguridad. Enterprise Strategy Group forma parte de Omdia. Sus analistas mantienen relaciones comerciales con proveedores de tecnología.
