Con la velocidad récord de los ciberataques, cada equipo de Centro de Operaciones de Seguridad (SOC) debe explorar cómo la inteligencia artificial (IA) puede cambiar la balanza a su favor.
Recientes declaraciones de George Kurtz, CEO y cofundador de CrowdStrike, revelan estadísticas alarmantes: los atacantes pueden moverse lateralmente dentro de un sistema en solo dos minutos y siete segundos después de obtener acceso, y pueden descargar un kit de herramientas en 31 segundos para iniciar la exploración de sistemas comprometidos. Kurtz compartió esta información durante su discurso principal en RSAC 2024, titulado "Next-Gen SIEM: Convergiendo Datos, Seguridad, TI, Automatización de Flujos de Trabajo e IA".
La Urgencia de la IA en la Ciberseguridad
Kurtz subrayó la necesidad de que los equipos de seguridad analicen rápidamente grandes conjuntos de datos para detectar y responder a amenazas. "La velocidad de los ciberataques actuales desafía las capacidades de los sistemas SIEM tradicionales", comentó. "Las organizaciones buscan tecnología avanzada que ofrezca un retorno de inversión más rápido, al tiempo que reduce los costos totales de propiedad. Los datos críticos de seguridad se encuentran principalmente en la plataforma Falcon, lo que minimiza el tiempo y los gastos asociados con la transferencia de datos a soluciones SIEM obsoletas. Nuestra arquitectura unificada integra datos nativos y de terceros utilizando IA y automatización de flujos de trabajo, cumpliendo finalmente el potencial de un SOC nativo de IA".
Desafíos de los SIEM Heredados
A medida que los atacantes refinan sus métodos, se amplían las brechas entre la seguridad de endpoints y la identidad. Los datos de endpoints pueden proporcionar información crítica para predecir intentos de intrusión si se agregan de manera efectiva. "Un problema significativo en la ciberseguridad es gestionar la complejidad de los datos", señaló Kurtz. "Por eso fundé CrowdStrike. Los equipos SOC luchan por navegar en volúmenes abrumadores de datos para identificar amenazas".
Los SIEM heredados se han convertido en una carga para los equipos de SOC que dependen de ellos. Los analistas a menudo participan en la "integración de silla giratoria", cambiando entre sistemas conflictivos que desperdician tiempo. Deben procesar datos de múltiples fuentes a través de diversas herramientas para verificar los puntajes de riesgo, lo que genera retrasos, especialmente durante incidentes urgentes. Kurtz destacó: "Consultar datos puede tomar días, durante los cuales alertas cruciales pueden perderse. Es vital encontrar formas de superar a los adversarios".
Usando la evolución de los planes de telefonía móvil como analogía, Kurtz argumentó que los SIEM de próxima generación deberían permitir la ingesta de datos escalable sin aumentar drásticamente los costos, lo que permite a las organizaciones tomar decisiones de seguridad informadas sin restricciones financieras. Insistió en la necesidad de romper la curva de productividad de costos, empoderando a los clientes para utilizar todas las fuentes de datos disponibles de manera efectiva.
Empoderando a los Defensores con IA
Kurtz presentó las innovaciones del SIEM de próxima generación Falcon de CrowdStrike en RSAC 2024 para demostrar la necesidad de equipar a los defensores con las herramientas adecuadas que mejoren la eficiencia operativa. Su discurso destacó la importancia de eliminar las limitaciones impuestas por los SIEM heredados y fortalecer a los SOC con capacidades de IA. Notablemente, CrowdStrike ofrece a los clientes de Falcon Insight la ingestión diaria de 10 gigabytes de datos de terceros sin costo adicional para demostrar la velocidad y eficacia del SIEM de próxima generación.
La IA es fundamental en la arquitectura del SIEM Falcon de próxima generación, automatizando el análisis y normalización de datos, enriqueciendo conjuntos de datos para una mejor identificación de amenazas y apoyando mecanismos avanzados de detección de amenazas y respuesta automatizada. "Un SOC nativo de IA aprende de forma continua", explicó Kurtz. "Cada organización posee información única sobre sus empleados y su entorno, y no deben depender únicamente de los proveedores para esta inteligencia. El sistema debe reconocer cómo luce un interno malicioso en su contexto y adaptarse con el tiempo".
Acelerando el Rendimiento del SOC
El SIEM Falcon de próxima generación de CrowdStrike tiene como objetivo mejorar el rendimiento del SOC ofreciendo capacidades de búsqueda hasta 150 veces más rápidas y un 80% menor costo total de propiedad en comparación con los SIEM tradicionales. Esto aborda puntos críticos significativos para los SOC: rendimiento lento y tiempos de respuesta.
Las innovaciones clave en el SIEM Falcon de próxima generación incluyen:
IA Generativa y Automatización de Flujos de Trabajo:
- Charlotte AI: El asistente de IA generativa de CrowdStrike puede proporcionar datos y documentación de Falcon en un lenguaje sencillo, agilizando los tiempos de respuesta para los analistas.
- Eficiencia Investigativa: La IA correlaciona automáticamente contextos relacionados en un solo incidente, generando resúmenes que aceleran las investigaciones.
- Promptbooks Personalizados: Los analistas pueden definir flujos de trabajo reutilizables de detección y respuesta, permitiendo una rápida resolución de incidentes.
- Integración SOAR: La nueva interfaz Fusion SOAR permite a los analistas del SOC optimizar flujos de trabajo mediante una interfaz de arrastrar y soltar, mejorando la eficiencia operativa.
- Investigaciones Automatizadas: Flujos de trabajo automatizados mejoran la búsqueda de amenazas e integran acciones a través de Falcon y herramientas de terceros.
Ingesta de Datos Rápida:
- Ecosistema Expansivo: Nuevos conectores integran diversos datos de TI y seguridad de terceros en la plataforma Falcon.
- Conectores en la Nube: Conexiones integrales para AWS, Azure y GCP simplifican el acceso y la monitorización de datos.
- Normalización Automatizada de Datos: La incorporación simplificada de datos asegura una detección rápida y precisa en todas las fuentes.
- Gestión Eficiente de Datos: Capacidad mejoradas simplifican el monitoreo y la gestión del estado y salud de la ingesta de datos.
Mejora de la Experiencia del Analista con la Gestión de Incidentes:
- Enriquecimiento Automatizado: La información contextual se añade automáticamente a los incidentes, acelerando las investigaciones.
- Herramientas de Colaboración: Vistas mejoradas y notificaciones facilitan respuestas coordinadas entre analistas.
- Integración de Inteligencia de Amenazas: Los analistas pueden incorporar inteligencia de amenazas personalizada en las búsquedas sin problemas.
Las innovaciones de CrowdStrike posicionan el SIEM Falcon de próxima generación como una solución vital para mejorar la eficiencia y capacidad de respuesta de los SOC en un panorama de ciberseguridad en rápida evolución.
Clasificación
