IA generativa para ayudar a superar los retos de los programas de inteligencia sobre amenazas
Utilizada como aplicación de ayuda al analista, la IA generativa puede ayudar a los programas de inteligencia sobre amenazas en áreas como la recopilación, el análisis y la difusión de datos.
- El 70% de los responsables de marketing ya emplea herramientas de IA generativa
- Para la alta dirección, los beneficios de la IA generativa superan los riesgos asociados
- Los proyectos de IA generativa más populares en GitHub son los menos seguros
- Estados Unidos lanza un grupo de trabajo sobre IA generativa para abordar sus riesgos
La IA generativa está por todas partes estos días: en los medios de comunicación, en la conferencia RSA, en los anuncios de los proveedores. Parece que todo el mundo relacionado con la oferta de ciberseguridad habla de la IA generativa, pero no la demanda. Los profesionales de la ciberseguridad siguen mostrándose escépticos y la mayoría de los CISO con los que hablo no tienen planes inmediatos de implantación.
¿Qué ocurre aquí? Los cínicos profesionales de la ciberseguridad ya han oído antes historias similares de "soluciones milagrosas". ¿Recuerdan la predicción "IDS ha muerto, IPS es el nuevo estándar" a principios de la década de 2000? ¿Qué hay del gran impulso del control de acceso a la red (NAC) alrededor de 2006 o el rumor sobre el análisis del comportamiento de usuarios y entidades (UEBA) en el periodo 2015-2016? Incluso el reciente furor por el XDR ha creado más confusión entre los usuarios finales que un nuevo mercado sólido.
Para ser justos, la IA generativa está en pañales y muchos de los anuncios se referían a productos que siguen en fase beta. Teniendo esto en cuenta, es comprensible que muchos CISO estén adoptando un enfoque de esperar y ver, pero he observado que algunos CISO están analizando la retórica y pensando en casos de uso en los que la IA generativa puede suponer una mejora real.
Potencial de la IA generativa para la inteligencia de amenazas
Permítanme añadir mi granito de arena a este proceso de reflexión. La IA generativa tiene un potencial real para ayudar a las organizaciones a mejorar la eficacia y eficiencia de sus programas de inteligencia sobre amenazas.
¿Por qué centrarse en la inteligencia sobre ciberamenazas (CTI)? Porque cada vez más organizaciones se dan cuenta de que necesitan un programa de inteligencia sobre amenazas, pero establecer, gestionar y obtener beneficios de la inteligencia sobre amenazas puede ser difícil. Por ejemplo, la investigación de ESG revela que al 72% de las organizaciones empresariales (es decir, con más de 1.000 empleados) les resulta difícil clasificar el ruido de CTI para encontrar información relevante, mientras que el 63% de las empresas admiten que no tienen el tamaño de personal o las habilidades adecuadas para desarrollar un programa de CTI apropiado. No es de extrañar entonces que el 82% de las organizaciones afirmen que su programa de CTI se trata a menudo como un ejercicio académico en el que los informes de inteligencia no aportan valor ni ayudan a orientar las decisiones de mitigación de riesgos.
¿Puede ayudar aquí la IA generativa? Sí. En otra pregunta de la investigación, ESG pidió a 380 profesionales de la ciberseguridad que identificaran los principales retos de su programa de inteligencia sobre amenazas. Estos son algunos de los principales retos identificados junto con algunos análisis sobre cómo podría ayudar la IA generativa:
El 33% de los profesionales de la ciberseguridad afirma que los informes de inteligencia sobre amenazas contienen demasiados detalles técnicos, lo que dificulta su consumo por parte de los directivos. Esto no es de extrañar, ya que los analistas de inteligencia sobre amenazas están enterrados en detalles técnicos sobre indicadores de compromiso (IoC), malware, tácticas, técnicas y procesos (TTP) del adversario, el marco ATT&CK de MITRE, etc. La IA generativa podría ayudar a los equipos de inteligencia sobre amenazas a crear informes resumidos adaptados a diferentes consumidores técnicos y empresariales. Esto, combinado con los comentarios de los consumidores de CTI, puede ayudar a las organizaciones a mejorar continuamente la calidad, relevancia y puntualidad de estos informes a lo largo del tiempo.
El 28% de los profesionales de la ciberseguridad afirma que la inteligencia sobre amenazas genera mucho ruido, lo que dificulta la identificación de información verdaderamente valiosa. Muchos equipos de CTI operan bajo la filosofía de "más es mejor", recopilando y procesando toda la inteligencia sobre amenazas comerciales y de código abierto que pueden. En consecuencia, se quedan enterrados en los datos, lo que dificulta un análisis impactante. La IA generativa puede ayudarles a identificar los datos de CTI más relevantes para su empresa, sector y región como base de referencia y, a continuación, ayudarles a encontrar nuevas pepitas de inteligencia sobre amenazas de forma incremental. Esto no sólo mejorará el valor del programa CTI, sino que también reducirá los costes, ya que las empresas seleccionan y pagan por los datos de inteligencia sobre amenazas más relevantes y descartan los marginales.
El 27% de los profesionales de la ciberseguridad afirman que centrarse en identificar y bloquear los IoC les impide conseguir valor estratégico. La IA generativa puede ayudar de tres formas. En primer lugar, puede ayudar a acelerar el descubrimiento y la corrección de IoC al incluirse en los flujos de trabajo de las operaciones de seguridad. Además, proporciona otra herramienta para ayudar a los analistas de amenazas a trabajar con los ejecutivos de la empresa para definir los requisitos de inteligencia prioritarios (PIR) para todos los aspectos de la empresa. Por último, puede adaptar los informes de IoC a diferentes consumidores, como se ha mencionado anteriormente.
El 25% de los profesionales de la ciberseguridad afirman que cuentan con poco o ningún personal con conocimientos de inteligencia sobre amenazas. La IA generativa no puede paliar la necesidad de contar con conocimientos avanzados de inteligencia, pero puede ayudar a formar al personal subalterno y a reforzar sus contribuciones mediante la creación de reglas de detección, la evaluación de si los archivos o secuencias de comandos son maliciosos o no y la comparación de vulnerabilidades con exploits conocidos.
El 22% de los profesionales de la ciberseguridad afirman que no realizan suficientes análisis para comprender mejor a los ciberadversarios. Este requisito se alinea con un modelo conocido como la pirámide del dolor, que básicamente afirma que cuanto más se sabe sobre un adversario (es decir, TTP, herramientas, artefactos de red/host, etc.), más se pueden preparar las defensas y hacer que los ataques sean más costosos y difíciles para los malos. La IA generativa no sustituye a un analista experimentado de la NSA, pero puede ayudar a salvar la brecha de conocimientos.
Varios proveedores de inteligencia sobre amenazas, como Cybersixgill, Mandiant, Microsoft y Recorded Future, han anunciado la compatibilidad de la IA generativa con sus productos y servicios CTI. Muchos, muchos otros les seguirán pronto.
Mitos de la IA generativa
Para terminar, permítanme aclarar algunos mitos sobre la IA generativa. No sustituirá a los analistas de amenazas ni tomará decisiones de automatización por sí sola, pero puede actuar como una aplicación de ayuda para los analistas de inteligencia de amenazas con poco personal y sobrecargados de trabajo o para aquellos que carecen de habilidades avanzadas. Esto debería ser una buena noticia para los CISO. La investigación de ESG indica que el 98% de las empresas planean aumentar el gasto en inteligencia de amenazas en 2024, por lo que es evidente que necesitan ayuda. Por lo tanto, los CISO deben averiguar cómo encaja la IA generativa en sus inversiones en programas de CTI como medio para ayudarles a obtener beneficios tácticos, operativos y estratégicos de CTI.
