Descifrar señales de telemetría débiles a través del análisis de comportamiento impulsado por inteligencia artificial está moldeando el futuro de la Detección y Respuesta Extendida (XDR).
A medida que la ciberseguridad avanza, los Directores de Seguridad de la Información (CISOs) y sus equipos están haciendo la transición de la Detección y Respuesta en Endpoint (EDR) a XDR. Este cambio ofrece importantes ahorros en consolidación y una vista unificada de todas las superficies de ataque y amenazas potenciales. En una época en que se examinan los presupuestos de seguridad, la capacidad de incorporar más datos de telemetría, especialmente señales basadas en el comportamiento para identificar actividades anómalas, incluidos los riesgos internos, resalta el papel crucial de la inteligencia artificial (IA) en la mejora de las capacidades de XDR.
Las plataformas XDR adoptan diversas estrategias en IA y aprendizaje automático, pero comparten funcionalidades básicas: ingestión de datos, detección de amenazas camufladas en código legítimo e investigación automatizada. Según el blog de CrowdStrike, el crecimiento acelerado de XDR se ve impulsado por la capacidad de la IA para limitar el movimiento de datos, una prioridad principal para los líderes de seguridad actuales.
El año 2024 marcará un punto de inflexión en la consolidación de las pilas de seguridad. Gartner pronostica que para 2027, hasta el 40% de las empresas utilizarán XDR, en comparación con menos del 5% hoy, y el 96% de los CISOs planean simplificar sus proveedores de seguridad. Entre ellos, el 63% señala a XDR como su solución preferida.
Los principales proveedores de XDR están priorizando la IA, la IA generativa y el aprendizaje automático para facilitar una consolidación más rápida. La integración de la IA en el lanzamiento de XDR de CrowdStrike, junto con las iniciativas de Palo Alto Networks y Zscaler, demuestra la efectividad de esta estrategia, como se refleja en los crecientes informes de ingresos.
Nikesh Arora, CEO de Palo Alto Networks, afirmó: “Recopilamos la mayor cantidad de datos de endpoints en la industria, casi 200 megabytes por endpoint, de 10 a 20 veces más que la mayoría de los competidores.” Los proveedores líderes de XDR que aprovechan la IA incluyen Broadcom, Cisco, CrowdStrike, Fortinet, Microsoft, Palo Alto Networks, SentinelOne, Sophos, TEHTRIS, Trend Micro y VMware.
La disponibilidad en tiempo real de datos de telemetría diversa, desde endpoints hasta aplicaciones web, mejora la precisión predictiva, mientras que los modelos de lenguaje grandes (LLMs) se entrenan continuamente con estos datos para mejorar la seguridad de los endpoints.
Michael Sentonas, presidente de CrowdStrike, enfatizó el papel fundamental de la IA en su estrategia desde su inicio, afirmando: “Identificamos la IA como clave para resolver desafíos de seguridad e incorporamos regularmente esta tecnología en nuestros modelos de caza y prevención de amenazas.”
Una integración efectiva de la IA aborda brechas críticas en la seguridad de identidad y endpoints. Con el aumento de nuevas identidades asignadas a los endpoints, las plataformas XDR deben utilizar IA y aprendizaje automático para identificar comportamientos anómalos que señalen posibles ataques. Dado que los atacantes explotan identidades robadas más del 62% del tiempo y muchas organizaciones monitorean menos del 75% de sus endpoints, la urgencia de implementar IA para la seguridad no puede ser subestimada.
En RSAC 2023, los CEOs destacaron el potencial transformador de la IA. Connie Stack, CEO de NextDLP, comentó que “la IA y el aprendizaje automático mejoran significativamente la prevención de pérdida de datos al identificar anomalías y violaciones antes de que se vulneren las políticas.”
Diez Áreas Clave Donde la IA Fortalece XDR:
1. Detección y Respuesta a Amenazas en Tiempo Real: Se espera un aumento en la dependencia de IA/ML a medida que surge más datos de telemetría, lo que apoya un mejor monitoreo y identificación de amenazas.
2. Análisis de Comportamiento y Detección de Anomalías: IA/ML detecta efectivamente desviaciones conductuales, cruciales para localizar riesgos internos.
3. Reducción de Falsos Positivos: Datos históricos mejoran la precisión, permitiendo que los equipos de seguridad se concentren en amenazas reales.
4. Respuesta Automática a Amenazas: Las principales plataformas XDR están implementando automatización impulsada por IA para la respuesta a incidentes, como el aislamiento de endpoints comprometidos.
5. Caza de Amenazas Más Precisa: Los modelos de IA identifican indicadores de compromiso que los sistemas heredados a menudo pasan por alto, mejorando así la detección de violaciones.
6. Aprendizaje Adaptativo: Plataformas XDR habilitadas con IA/ML aprenden continuamente para contrarrestar técnicas de amenaza emergentes.
7. Mejora de Visibilidad y Correlación en Tiempo Real: La agregación y correlación robustas de datos son esenciales para una mejor visibilidad y respuestas a eventos.
8. Automatización de Cargas de Trabajo Manuales en el SOC: La automatización de tareas de informes permite que los analistas del SOC se concentren en problemas complejos.
9. Análisis Predictivo Más Preciso: IA/ML mejora la precisión predictiva para tendencias y vulnerabilidades, vitales en estrategias de ciberseguridad.
10. Tendencias de Consolidación: La integración de IA con plataformas XDR ofrece alivio presupuestario para los CISOs en medio de presiones financieras actuales, mejorando al mismo tiempo las capacidades predictivas a largo plazo.
En resumen, el impacto financiero de la IA en las plataformas XDR alivia las preocupaciones presupuestarias a corto plazo de los CISOs, preparándolos para una eficiencia mucho mayor a largo plazo en la predicción de intrusiones y la identificación de violaciones. La agregación de datos de telemetría para entrenar LLMs simboliza el papel transformador de la IA/ML en la madurez tecnológica del XDR.