El CTO de Palo Alto Networks Revela Cómo el Aprendizaje Automático Está Transformando el Rendimiento del SOC

Recientemente, A media realizó una entrevista virtual con Nir Zuk, fundador y Director de Tecnología (CTO) de Palo Alto Networks, un líder en la transformación del futuro de la ciberseguridad. La conversación se centró en el papel crucial del aprendizaje automático en la mejora del rendimiento de los Centros de Operaciones de Seguridad (SOC) y su integración en la arquitectura Cortex XSIAM.

Antes de fundar Palo Alto Networks en 2005, Zuk fue CTO de NetScreen Technologies, adquirida por Juniper Networks en 2004. También cofundó OneSecure, uno de los primeros innovadores en sistemas de prevención de intrusiones, y fue ingeniero principal en Check Point Software Technologies, donde contribuyó al desarrollo de la tecnología de inspección con estado.

Para el segundo trimestre fiscal de 2024, que finalizó el 31 de enero, Palo Alto Networks informó un aumento del 19% en los ingresos, alcanzando los $2 mil millones en comparación con $1.7 mil millones en el mismo trimestre del año anterior. La ganancia neta GAAP de la compañía se disparó a $1.7 mil millones desde $0.1 mil millones en el Q2 de 2023. Actualmente, Palo Alto Networks atiende a más de 85,000 clientes a nivel mundial, incluidos la mayoría de las empresas del Global 2000.

A media: ¿Por qué es esencial el aprendizaje automático (ML) para mejorar el rendimiento del SOC?

Zuk: El aprendizaje automático es crucial porque cambia nuestro enfoque de investigar ataques conocidos, que son infrecuentes, a evaluar cada evento en la infraestructura como una posible amenaza. Esta transición nos permite analizar millones de ataques potenciales cada segundo, algo que resulta imposible de manejar solo para humanos.

VB: ¿Cómo está transformando el aprendizaje automático las operaciones de seguridad y optimizando las métricas clave del SOC?

Zuk: Abordamos la ciberseguridad de dos maneras. La primera es preventiva, enfocada en mantener a los adversarios afuera: seguridad de red tradicional, seguridad de endpoints y gestión de accesos. Sin embargo, también debemos enfrentar la realidad de que pueden ocurrir brechas. Por lo tanto, si un intruso logra acceder, el rol del SOC es cazarlo activamente. Aquí es donde el aprendizaje automático desempeña un papel fundamental, permitiendo la detección y respuesta, ya sea que las amenazas estén afuera o ya adentro.

VB: ¿Estás notando un aumento en el número de plataformas en la nube que utilizan tus clientes? ¿Buscan navegar por las complejidades de la detección y respuesta en la nube?

Zuk: Absolutamente. Los equipos de operaciones de seguridad a menudo se sienten abrumados por la complejidad de los entornos en la nube en comparación con los centros de datos tradicionales. Esta complejidad requiere herramientas efectivas para que los SOC gestionen la seguridad en la nube. El anterior concepto de integrar operaciones de seguridad en DevOps no ha demostrado ser efectivo, ya que ambos enfrentan desafíos similares. XSIAM aborda estas complejidades y ofrece una solución para los SOC, ya sean enfocados en la nube o generales.

VB: ¿Cuál es el papel del aprendizaje automático en la arquitectura Cortex XSIAM?

Zuk: Cortex XSIAM es intrínsecamente un sistema de aprendizaje automático que utiliza modelos personalizados para detectar varios tipos de ataques. Actualmente contamos con unos 1,400 modelos especializados desarrollados por expertos en ciberseguridad, incluidos exmilitares y operativos de inteligencia, quienes traducen su experiencia en modelos efectivos para la detección de amenazas.

VB: ¿Estás anonimando los datos de ataques para entrenar tus modelos con interacciones de diversos clientes?

Zuk: Nuestro enfoque de aprendizaje automático es diferente de las tendencias comunes del mercado. No entrenamos modelos con datos de clientes, sino con datos de ataques recopilados de diversas fuentes. Esto nos permite establecer qué es normal para la infraestructura de un cliente e identificar anomalías sin comprometer la privacidad de los datos.

VB: ¿Cómo abordan tus clientes las métricas del SOC?

Zuk: Estamos incentivando a los clientes a medir métricas clave como el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR). La investigación actual sugiere que el MTTD promedia en meses, pero creo que podemos mejorarlo a semanas e incluso días. Lo mismo se aplica al MTTR, que a menudo se cuantifica en horas. La mayoría de nuestros clientes y prospectos no están midiendo actualmente estas métricas importantes.

VB: ¿Cómo manejas los precios y las actualizaciones?

Zuk: El precio de XSIAM se basa en el volumen de datos analizados. Nuestro objetivo es alinear nuestros precios con las soluciones SOC existentes, aunque procesamos significativamente más datos, a menudo de 10 a 100 veces más que los sistemas típicos de gestión de información y eventos de seguridad (SIEM). Queremos evitar que los SOC experimenten un aumento drástico en sus presupuestos.

Most people like

Find AI tools in YBX