Trazando la historia: la revolución de la IA generativa en SIEM

Esta iteración inicial de la recopilación de registros de seguridad se definió como SEM (administración de eventos de seguridad) o SIM (administración de información de seguridad). Recopilaba una combinación de datos de registro, o los registros digitales de la actividad del sistema, junto con datos de eventos. Esto cambió las reglas del juego para los analistas, ya que ahora tenían un sistema bajo su control que contenía los datos necesarios para resolver el crimen digital. Básicamente, los equipos de seguridad ahora tenían su propio aislamiento de datos. Esta revolución de los productos fue impulsada principalmente por la necesidad de recopilar datos en caso de que algo sucediera, como mantener un registro forense y poder demostrar a los contralor e investigadores que, de hecho, se estaban recopilando estos registros. Este caso de uso de cumplimiento impulsó la adopción de la recopilación de eventos de seguridad central.

Hubo desafíos con este nuevo tipo de producto. El SOC ahora necesitaba ingenieros de seguridad para gestionar grandes cantidades de datos. También necesitaban la cotización para recopilar y almacenar esta información, ya que estaban copiando datos de muchos otros sistemas en un sistema monolítico y centralizado. Pero los beneficios eran claros: acelerar la detección y la corrección al reducir significativamente el tiempo dedicado a recopilar y clasificar datos de toda la compañía. Una vez notificado de un ataque, los equipos de respuesta a incidentes podían poner a trabajar casi al instante.

El siguiente avance fue aplicar la lógica de detección en la capa SIEM centralizada. Un SIEM solía ser una combinación de los datos de eventos en un SEM y los datos de información en una SIM. El poder de cumplimiento y recopilación de pruebas de los SEM/SIM era estable, pero luego de casi una década de solo recopilar y revisar datos, los analistas se dieron cuenta de que podían hacer mucho más con información centralizada. En lugar de limitar a consolidar las alertas de otros sistemas y proporcionar un sistema central de registro para los registros y eventos recopilados, los SIEM ahora permitían el análisis de muchas fuentes de datos. Los ingenieros de detección podrían operar desde una nueva perspectiva: detectar amenazas que pueden haber pasado por alto en una solución puntual, analizando solo una fuente de datos, como su antivirus o firewall de red. 

Esta evolución vino acompañada de muchos desafíos. Además de la mayor necesidad de expertos en la materia y reglas prediseñadas, los SIEM recopilaron de forma centralizada alertas de numerosas soluciones puntuales, cada una de las cuales produjo una gran cantidad de falsos positivos por sí sola y exacerbó el problema. Los analistas de SIEM tuvieron que revisar las alertas colectivas de red y escritorio. Esto dio lugar a una pregunta frecuente de un analista de SIEM: "¿Por dónde empiezo?", junto con un conjunto completamente nuevo de alertas de detección del propio SIEM. Su SIEM ahora contiene la suma de todas las demás alertas del sistema en la red más la cantidad de alertas generadas normalmente. No hace falta decir que esto fue increíblemente abrumador.

El aprendizaje automático (ML) prometía mejorar la detección de amenazas desconocidas con menos mantenimiento. El objetivo era identificar el comportamiento anormal, en lugar de depender de reglas codificadas para encontrar todas las amenazas.

Antes del aprendizaje automático, los ingenieros de detección tenían que analizar un ataque que ya se produjo o uno que podría producir (gracias a la investigación de primera mano) y escribir detecciones para esa posible ocurrencia. Por ejemplo, si se descubriera un ataque que se aprovechara de algunos argumentos específicos enviados a un proceso de Windows, se podría escribir una regla buscando que esos argumentos se invoquen en la ejecución. Pero el adversario podría simplemente cambiar el orden de los argumentos o invocarlos de manera diferente para evitar esta detección frágil. Y, si hubiera usos legítimos de esos argumentos, se necesitarían días (tal vez semanas) de ajuste para eliminar estos falsos positivos de la lógica de detección. 

El aprendizaje automático prometía reducir en gran medida este desafío; concretamente de dos maneras:

• Detección de anomalías basada en ML "no monitorear":los analistas solo tenían que decidir en qué área buscar comportamientos desconocidos, como en los inicios de sesión, en las ejecuciones de procesos y en el acceso a los buckets de S3. A continuación, el motor de ML aprendió el comportamiento NORMAL de estas áreas y marcó lo que era inusual. SANS DFIR hizo un famoso afiche en 2014 que decía "Know Abnormal... Encuentra el mal".

• Modelos de ML capacitados o "monitorear": los analistas humanos pueden ver algo y sus cerebros pueden conectar los puntos sobre cómo se parece un poco a un ataque observado anteriormente. Estos expertos son capaces de aprender sobre cómo se produjo un ataque y aplicar ese conocimiento para encontrar ataques desconocidos que sigan una progresión similar. Tradicionalmente, empleaban esta experiencia en la búsqueda de amenazas para ayudar a encontrar amenazas que sus productos de seguridad podrían pasar por alto. Ahora, con el aprendizaje automático, pudieron crear detecciones de modelos capacitados con la capacidad de aprender de ataques anteriores y encontrar otros nuevos que sean similares en la formaen que están atacando. Centrar en el comportamiento, y no solo en los indicadores atómicos como hashes, cadenas en archivos y URL, permite detecciones con una vida útil más larga y una mayor tasa de detección de ataques.

Como vimos, los SIEM solían ser reportes históricos de problemas en lugar de soluciones reales de extremo a extremo. Los SIEM podían alertarte de un problema, pero luego tenías que arreglarlo por tu cuenta. Esto cambió con la entrada de SOAR: orquestación de seguridad, automatización y respuesta. Esta nueva línea de productos se creó para llenar un vacío de características en los SIEM. Proporcionaron un lugar para recopilar y organizar los pasos que un analista quería realizar para la corrección, así como conectores con el resto del ecosistema para iniciar la respuesta. En nuestra analogía del departamento de policía, los SOAR eran como policías de tráfico que dirigían a todos los demás sistemas para ejecutar comandos. Eran el pegamento que mantenía el descubrimiento del ataque desde el SIEM hasta las acciones de respuesta de los otros sistemas. 

Al igual que UEBA, la capacidad de organizar planes de respuesta e iniciar acciones desde una ubicación central se convirtió en una expectativa de los SIEM modernos. Ahora, en el ciclo de vida de SIEM 2.0, se espera que los SIEM puedan recopilar datos a escala en toda la organización (.gen 0), detectar nuevas amenazas que las soluciones puntuales pueden pasar por alto y correlacionar sistemas dispares empleando tecnologías basadas en reglas y en aprendizaje automático (SIEM 1.0), y permitir la planeación y ejecución de los planes de respuesta (2.0). De hecho, se acuñó un nuevo acrónimo, TDIR (detección, investigación y respuesta a amenazas), para capturar la capacidad de manejar el alcance completo de un ataque.

Los SIEM se convirtieron en fundamentales en la detección, clasificación e investigación de amenazas de un SOC, a pesar de no abordar un desafío fundamental: la escasez masiva de habilidades en ciberseguridad. Un estudio de marzo de 2023 encargado por IBM y completado por Morning Consult descubrió que los miembros del equipo de SOC "sólo reciben la mitad de las alertas que se supone que deben revisar en un día laboral típico". Eso es un punto ciego del 50%. Décadas de mejoras incrementales para simplificar los flujos de trabajo, automatizar los pasos rutinarios, guiar a los analistas junior y mucho más ayudaron, pero no lo suficiente. Con la llegada de modelos de inteligencia artificial generativaaccesibles para el consumidor con experiencia en el dominio de la ciberseguridad, esto está cambiando rápidamente. 

Tradicionalmente, los SIEM dependieron mucho del ser humano detrás de la pantalla: las alertas, los paneles de control y la búsqueda de amenazas son operaciones intensivas en humanos. Incluso los primeros esfuerzos de IA, como los copilotos de IA, dependieron de la capacidad del analista para emplear estos copilotos de forma eficaz. Esta revolución ocurrirá cuando la IA opere en nombre del analista, eliminando el requisito de "chatear". Imaginar que el sistema examina todos los datos, ignora los irrelevantes e identifica lo que es crítico, descubre el ataque específico y elabora soluciones específicas y, a su vez, libera a sus expertos para que se centren en detener el impacto en el negocio.

Por primera vez, la tecnología está aprendiendo de los analistas senior y transfiriendo ese conocimiento a los miembros junior de forma automática. La IA generativa ahora ayuda a los profesionales de la seguridad a desarrollar planes de corrección específicos de la organización, priorizar amenazas, escribir y curar detecciones, depurar problemas y abordar otras tareas rutinarias y que requieren mucho tiempo. La IA generativa promete automatizar el ciclo de retroalimentación de vuelta al SOC, lo que permite una mejora continua día tras día. Ahora podemos cerrar el ciclo de OODA con esta retroalimentación y aprendizaje automatizados. 

Debido a la naturaleza de los grandes modelos de lenguaje (la ciencia detrás de la IA generativa), finalmente podemos aprovechar la tecnología para razonar en numerosos puntos de datos, tal como lo haría un humano, pero con mayor escala, mayor velocidad y una comprensión más amplia. Además, los usuarios pueden interactuar con grandes modelos de lenguaje en lenguaje natural, en lugar de código o matemáticas, y reducir aún más las barreras para la adopción. Nunca antes un analista fue capaz de hacer preguntas en lenguaje natural, como "¿Mis datos contienen alguna actividad en algún área que pueda representar un riesgo para mi organización?" Se trata de un avance sin precedentes en las capacidades que ahora se pueden integrar en un SIEM para todos los afiliados a un SOC. La IA generativa se convirtió en un asistente SOC digital poderoso y preciso. 

Los productos que aprovechan la revolución de la IA en los flujos de trabajo de operaciones de seguridad ofrecerán SIEM 3.0.

En esta entrada de blog se revisó la evolución de SIEM, desde la recopilación centralizada de datos hasta la detección de amenazas a nivel organizacional y, por último, la automatización y la orquestación para acelerar la corrección. Ahora, en esta tercera fase de las tecnologías SIEM, finalmente estamos abordando la escasez masiva de habilidades en ciberseguridad. 

En la segunda parte de este serial, analizaremos la evolución de Elastic Security de un TDIR a la primera y única oferta de analítica de seguridad impulsada por IA del mundo. Mientras tanto, puede obtener más información sobre cómo reaccionaron los profesionales de la seguridad a la aparición de la IA generativa con este libro electrónico: IA generativa para la ciberseguridad: un futuro optimista pero incierto. ¡Estén atentos a la segunda parte!