Buscar actividades maliciosas en la nube se parece mucho a buscar una aguja en un pajar. Los profesionales de la seguridad tienen que cribar cientos de falsos positivos al día sólo para identificar incidentes de seguridad legítimos que investigar.
De hecho, según un estudio realizado por el proveedor de ciberseguridad Orca Security, el 59% de los profesionales de seguridad informática afirman recibir más de 500 alertas de seguridad en la nube pública al día. A continuación, el analista debe decidir si investigar más a fondo o ignorar la alerta.
Con demasiada frecuencia, este elevado volumen de alertas conduce a un escenario en el que los defensores están tan ocupados gestionando alertas triviales o sin importancia que no pueden identificar y responder a violaciones de datos reales. Por ejemplo, el 55% de los profesionales de la seguridad admite que pasa por alto alertas críticas semanal o diariamente.
A la luz de estos desafíos, un número creciente de proveedores de ciberseguridad están recurriendo a la IA generativa para ayudar a los equipos de seguridad a dar sentido a lo que está sucediendo en la nube.
Uno de ellos es Skyhawk Security, un proveedor de seguridad en la nube valorado en 180 millones de dólares, que a principios de este año anunció que utilizaría ChatGPT para detectar amenazas.
Trabajar de forma más inteligente para detectar amenazas con ChatGPT
La visibilidad y el contexto son fundamentales para que los analistas de seguridad identifiquen si una alerta o señal de amenaza es la señal de un ciberataque o una falsa alarma inocua. Sin embargo, los analistas a menudo tienen demasiados o muy pocos datos para tomar una decisión sin investigar más a fondo.
La respuesta de Skyhawk Security a este predicamento ha sido integrar la IA generativa, la API ChatGPT, en su solución de detección y respuesta en la nube (CDR) como parte de dos soluciones: Threat Detector y Security Advisor.
- Threat Detector utiliza la API ChatGPT, que ha sido entrenada en millones de señales de seguridad tomadas de toda la web, para analizar eventos en la nube y ayudar a generar alertas más rápidamente.
- Security Advisor proporciona un resumen en lenguaje natural de las alertas en directo junto con recomendaciones sobre cómo responder y remediarlas.
En este caso, el uso de IA generativa permite a los usuarios generar alertas mucho más rápido y les proporciona un mayor contexto sobre cómo responder a los incidentes para que puedan resolver las violaciones de datos en el menor tiempo posible.
Se trata de un enfoque automatizado de la gestión de alertas que, según Skyhawk, ha resultado increíblemente eficaz, con pruebas que sugieren que, en el 78% de los casos, la plataforma CDR generó alertas antes cuando utilizó la API ChatGPT como parte de su proceso de puntuación de amenazas.
Chen Burshan, CEO de Skyhawk Security, declaró a Techopedia:
“La IA generativa era un avance natural para Skyhawk, ya que siempre estamos buscando mejorar nuestra detección de amenazas y consideramos la IA generativa como una gran oportunidad para mejorar nuestra detección y respuesta para los ingenieros de la nube y los encargados de responder a incidentes del SOC”
Burshan añadió: “Lo utilizamos como un multiplicador de fuerza para el SOC, que ayuda a superar la escasez de mano de obra cualificada en la nube.”
Uso de ChatGPT para la detección y respuesta en la nube
Como parte de su solución, Skyhawk utiliza una base existente de algoritmos de aprendizaje automático (ML) para supervisar los activos en toda la nube.
El ML ha sido entrenado para distinguir entre la actividad en “tiempos de paz” y el uso normal, y puede identificar y rastrear instantáneamente indicadores de comportamiento malicioso (MBI), como el acceso no autorizado al almacenamiento, para asignar a estos MBI una puntuación de amenaza. Una vez que la puntuación de la amenaza cruza un determinado umbral, se genera una alerta.
Cuando se crea la alerta, la solución ML existente de Skyhawk puede crear una secuencia de ataque, presentando al usuario una historia gráfica del suceso, que resume lo ocurrido.
A continuación, Skyhawk utiliza su detector de amenazas entrenado por ChatGPT para aumentar y enriquecer los datos proporcionados por su mecanismo de puntuación de amenazas basado en ML existente con parámetros adicionales para ayudar a los usuarios a verificar las puntuaciones de amenazas asignadas a un evento determinado.
Esto significa que los administradores de seguridad pueden tener más confianza a la hora de identificar y priorizar las alertas a las que responder.
Limitaciones de la IA generativa en ciberseguridad
La IA generativa puede ser útil para los profesionales de la seguridad, pero las organizaciones deben ser conscientes de sus limitaciones para garantizar los mejores resultados.
Explicó Burshan:
“Aunque la IA Gen es extremadamente potente, tiene que usarse con prudencia para asegurarse de que no introduce errores, no crea problemas de privacidad y muchos más aspectos que requieren atención.”
En este sentido, para los equipos de los SOC, la IA generativa es una herramienta que puede aumentar y agilizar las investigaciones humanas de los incidentes de seguridad, más que una solución diseñada para automatizar por completo la resolución y respuesta a las amenazas.
En esta fase, la IA generativa es más útil cuando proporciona una explicación en lenguaje natural de alertas y datos impenetrables y da a los usuarios ideas sobre cómo pueden responder con eficacia.
Como explicó Sunil Potti, vicepresidente y director general de Google Cloud Security, en una entrada de blog tras el lanzamiento del LLM de seguridad de Google en abril de 2023, “los recientes avances en inteligencia artificial (IA), en particular los grandes modelos de lenguaje (LLM), aceleran nuestra capacidad para ayudar a las personas responsables de mantener la seguridad de sus organizaciones”.
Añadió Potti:
“Estos nuevos modelos no solo ofrecen a las personas una forma más natural y creativa de entender y gestionar la seguridad, sino que también les dan acceso a la experiencia impulsada por la IA para ir más allá de lo que podrían hacer solos.”
El conocimiento es poder
En un mundo de ciberamenazas que evolucionan con rapidez, el conocimiento es poder. Cuanto más contexto tengan los equipos de seguridad para tomar decisiones sobre cómo responder a los eventos de seguridad, mejor podrán proteger los entornos locales y en la nube de los actores de amenazas.
Mediante la implementación de IA generativa, las organizaciones pueden facilitar a los analistas la decisión sobre qué alertas investigar y cómo darles seguimiento, en lugar de depender de ellos para que tomen las decisiones correctas cientos de veces al día.