Cuando se implementa una nueva tecnología, los primeros pasos son, con frecuencia, erráticos. Y no hablo de la irrupción de las inteligencias artificiales (IA) generativas, con ChatGPT a la cabeza. En ciberseguridad llevamos muchos años hablando de IA, especialmente de modelos de aprendizaje automático o Machine Learning (ML) que estudian el comportamiento de un sistema para generar un patrón o baseline y detectar anomalías. Pero no podemos negar que, en la actualidad, cualquier tecnología utilizada en ciberseguridad debe contar con algún tipo de IA si no quiere ser olvidada para siempre.
Que no se me malinterprete. Utilizar la IA en ciberseguridad es una necesidad, pero si hace años ya era peligrosa la falacia de autoridad de esta tecnología, actualmente hay una corriente hacia la conversión del SOC (centro de operaciones de seguridad) en un entorno cerrado IA-céntrico donde muchas decisiones las toma la IA, lo cual no es malo siempre que podamos saber por qué se ha tomado esa decisión.
Retos de la IA
La IA, especialmente muchos modelos de ML no supervisados, tiene múltiples retos. Estos modelos prometen detectar cualquier anomalía, considerando una todo aquello que se sale de ese baseline generado.
Algunos de esos desafíos son la alta tasa de falsos positivos. Cada vez que un usuario haga alguna acción que se salga de los patrones habituales, se generará una alerta más en nuestros SOC, que ya de por sí están fatigados de alertas.
¿Y qué pasa cuando hay cualquier cambio en los sistemas, como migraciones, nuevos despliegues, picos estacionales, etcétera? De nuevo emergen los falsos positivos, e incluso se requerirá una nueva fase de aprendizaje, que llevará de nuevo semanas o meses. Además, los atacantes también pueden evadir estos sistemas ralentizando su actividad para evitar la fluctuación estadística.
Pero hay un reto aún mayor por el cual los SOC maduros están empezando a rechazar las soluciones cerradas (black box) IA-céntricas: su baja explicabilidad. Dicho de otra manera, los sistemas IA-céntricos lanzan alertas cuando detectan una anomalía, pero no saben explicar por qué. En consecuencia, el personal del SOC necesita mucho tiempo para investigar las posibles causas en cada alerta, malgastando su tiempo.
SOC: Estrategia de seguridad
En otro orden de cosas, hay varias claves que se deben tener en cuenta a la hora de diseñar la estrategia de seguridad de una organización. La primera es tan obvia como importante: no hay dos organizaciones iguales. Por lo tanto, hay que diseñar una estrategia personalizada para cada organización y, en general, huir de las black boxes, que pese a que prometen adaptarse a cada entorno, no son amigables ni para el analista del SOC ni para las herramientas de automatización que necesitan contexto para poder responder a cada alerta de forma muy rápida.
Por ello, en DotForce solo buscamos tecnologías que utilicen la IA de forma innovadora para facilitar las tareas del SOC, pero que no sean IA-céntricas y que estén diseñadas para integrarse con el SOC de la forma más fluida posible. Y deben ser compatibles tanto con los SOC más maduros como con los MSSP de todas las dimensiones para facilitar la llegada de esta tecnología a las organizaciones de todos los tamaños y tipologías.
Soluciones
Voy a mostrar los ejemplos más ilustrativos dentro de las soluciones con las que trabajamos día a día.
Corelight, el NDR de referencia utilizado en varias de las mayores organizaciones del mundo, es uno de los mejores ejemplos. Entre los sistemas de detección, Corelight incluye detecciones de ML supervisado para detectar amenazas muy complicadas de descubrir con otros métodos.
Este modelo de ML está entrenado por el equipo de Corelight Labs, formado por especialistas de primer nivel mundial. Pero Corelight también realiza detecciones de ML no supervisado para casos de uso específicos donde se pueden detectar anomalías sin perder visibilidad sobre las evidencias. Todo esto, sumado a su IA generativa, que facilita la comprensión de cada amenaza, es un magnífico ejemplo de IA al servicio del SOC.
La IA no es más que una herramienta, muy potente, pero que debe ser aplicada de forma apropiada en cada entorno
Hay otro ejemplo de uso que está en ciernes y que va a cambiar el paradigma de la utilización de la IA en ciberseguridad. SOCRadar ha desarrollado un sistema que ha llamado Agentic AI, por el que están apostando las mayores empresas tecnológicas del mundo. Este sistema utiliza agentes de IA para funcionar de forma autónoma y proactiva en la detección, el análisis y la respuesta a las ciberamenazas. Los agentes están diseñados para desencadenar respuestas y proporcionar información útil.
Este sistema incluye un modelo de gobernanza para garantizar el control y la auditabilidad de las acciones de la IA. Una tecnología que ya está en su fase final de pruebas y que esperamos poder mostrarla muy pronto.
El tercer ejemplo del que quiero hablar es el de la firma de referencia de protección de identidad en la Dark Net, SpyCloud. Para quien aún no conozca SpyCloud, es una firma fundada por exmiembros de agencias como el FBI que utilizan sofisticadas técnicas de automatización e IA avanzada para detectar identidades robadas incluso antes de que salgan a la luz en la Dark Web y que es usada por más de la mitad de las empresas del Fortune10.
Pero lo realmente novedoso es la nueva solución AI Insights, que permite utilizar IA en su plataforma de investigaciones. Esto posibilita a los analistas obtener en segundos, a partir de grandes volúmenes de datos, exposiciones de identidad y credenciales filtradas, amenazas internas, fraude o infecciones de infostealers en dispositivos relacionados con la organización, incluso si no son gestionados.
Y quiero terminar con un ejemplo del funcionamiento de la carrera entre el cibercrimen y las organizaciones legítimas. VMRay, sandbox de nueva generación que detecta incluso el malware con las técnicas de evasión más avanzadas, utiliza IA desde hace muchos años para realizar las detecciones. Pero los ciberdelincuentes ya están generando Large Language Model-enabled malware o malware que genera código dinámicamente utilizando un Large Language Model; es decir, una IA generativa.
VMRay puede detectar este tipo de malware con un análisis dinámico realizado con su motor de ML. Como resultado, los malware que utilizan la IA más avanzada pueden ser detectados, extrayendo toda la información sobre el comportamiento del malware y los TTP utilizados, obteniendo todos los IoC relacionados y permitiendo una investigación tan profunda como necesite el analista.
En conclusión, la IA es necesaria, pero no es más que una herramienta, muy potente, pero que debe ser aplicada de forma apropiada en cada entorno. El SOC del futuro no será IA-céntrico, sino IA-asistido: un entorno en el que los analistas, apoyados por sistemas explicables y auditables, puedan comprender y actuar con mayor rapidez y eficacia.
