La pesca siempre ha sido un juego de números. La IA lo ha convertido en una máquina de producción en masa.
Los atacantes ahora pueden crear correos electrónicos convincentes, páginas de inicio de sesión falsas y señuelos personalizados en minutos. Cada mensaje sofisticado agrega otro caso para que el Nivel 1 lo revise, otro enlace para inspeccionar y otra alerta que no se puede ignorar a primera vista.
Cuanto mayor sea la cola, más fácil será que los intentos de robo de credenciales y la entrega de malware se pierdan en las comprobaciones de rutina. Los líderes de SOC deben ayudar a sus equipos a eliminar el ruido más rápido y detectar alertas que podrían convertirse en incidentes importantes.
Donde los equipos de nivel 1 pierden tiempo con el phishing de IA
La IA puede ayudar a los atacantes a lanzar campañas más persuasivas, variar mensajes y hacer girar la infraestructura más rápido. Para los equipos de Nivel 1, esto significa menos alertas que puedan filtrarse rápidamente.
Cambios impulsados por la IA Los niveles 1 tendrán que lidiar con el impacto en el SOC Más variación en los señuelos Campañas similares ya no tienen el mismo aspecto. Deberá revisar manualmente más alertas. Mejorar los correos electrónicos de suplantación de identidad suena como solicitudes rutinarias de recursos humanos, finanzas y TI. La verificación del contexto lleva mucho tiempo. Los señuelos con mensajes personalizados se adaptan a los detalles de su empresa pública o de sus empleados. Más correos electrónicos pasarán una simple verificación visual. Las URL de dominio de corta duración suelen tener poco o ningún historial de reputación. La herramienta devuelve «desconocido» en lugar de un veredicto definitivo. En el caso más incierto del Nivel 1, hay menos evidencia para cerrar la alerta con seguridad. Más casos pasarán al Nivel 2.
Por lo tanto, el Nivel 1 dedicará más tiempo a cada alerta y enviará más casos poco claros al Nivel 2 para otra revisión. A medida que crece el trabajo pendiente, las amenazas críticas pueden permanecer en la cola por más tiempo, lo que aumenta el riesgo de respuestas retrasadas e incidentes costosos.
La forma más rápida de combatir el phishing de IA a escala sin sobrecargar el Nivel 1
Agregar más comprobaciones manuales no resuelve el problema. A medida que aumentan los volúmenes de phishing, los niveles 1 necesitan una forma de investigar más alertas sin perder tiempo extra en pasos repetitivos o trasladar todos los casos oscuros a los equipos superiores.
Los flujos de trabajo más rápidos combinan controles automatizados, visibilidad basada en el comportamiento e informes listos para usar. Esto le da al Nivel 1 la evidencia que necesita para llegar a un veredicto claro antes y ayuda al Nivel 2 a intervenir solo cuando un caso realmente requiere una investigación más profunda.
1. Visualice operaciones completas de Nivel 1 en menos de 60 segundos
La IA facilita que los atacantes creen señuelos sofisticados e introduzcan nuevas variaciones más rápido de lo que pueden hacerlo las comprobaciones de reputación. Incluso si el mensaje parece convincente y la URL no tiene un historial conocido, el Nivel 1 requiere una manera fácil de ver qué sucedió después del clic.
Soluciones como el sandbox interactivo de ANY.RUN permiten a los equipos abrir enlaces sospechosos, manipular páginas libremente y rastrear toda la cadena de ataque en un entorno de navegador real sin comprometer los dispositivos o la infraestructura corporativa.
Explore el análisis de phishing del mundo real
Página de inicio de sesión falsa de Microsoft 365 publicada en ANY.RUN sandbox en 60 segundos
En este caso reciente, un enlace aparentemente rutinario de LinkedIn Drive conducía a una página de inicio de sesión falsa de Microsoft 365 destinada a robar credenciales corporativas. El contenido de phishing estaba alojado en AWS CloudFront y se podía ocultar filtrando los dominios de correo electrónico gratuitos. Dentro de la caja de arena, toda la cadena quedó expuesta en 60 segundos.
Reduzca la sobrecarga de Nivel 1 con análisis de phishing basados en evidencia, lo que resulta en un 30 % menos de escaladas y una clasificación hasta 3 veces más rápida.
Reducir la sobrecarga de SOC
Para un equipo de Nivel 1 ocupado, esto cambia instantáneamente su flujo de trabajo.
Revele lo que los controles de reputación no revelan. Los redireccionamientos, las páginas ocultas y los formularios de recopilación de credenciales se revelan en una sola sesión. Tome decisiones más rápidas sobre nuevas URL: incluso si un enlace no tiene un historial conocido, su equipo puede ver lo que sucedió después de un clic. Reduce la cantidad de tiempo que las amenazas reales quedan sin resolver. Vea los intentos de robo de credenciales y descargas maliciosas antes de que se queden atrapados en la cola. Tome decisiones basadas en evidencia en lugar de suposiciones. El nivel 1 revisa toda la cadena de ataque antes de decidir si cerrar o escalar el caso.
2. Maneje más alertas de phishing sin esfuerzo manual adicional
La automatización tradicional puede pasar por alto redireccionamientos, CAPTCHA o páginas de phishing que solo aparecen después de ciertas acciones del usuario. Si bien las comprobaciones básicas pueden ahorrar tiempo, los equipos de Nivel 1 aún tienen resultados incompletos y más casos que investigar manualmente.
ANY.RUN combina automatización e interactividad. Habilitar el sandboxing abre enlaces sospechosos en un navegador aislado, navega entre páginas, resuelve CAPTCHA y activa pasos ocultos en la cadena de phishing, tal como lo investigaría manualmente un analista. Los miembros del equipo pueden intervenir en cualquier momento si un caso necesita más investigación.
El sandbox ANY.RUN resuelve automáticamente los desafíos CAPTCHA
Esto permite al SOC manejar un gran volumen de alertas sin ejercer presión adicional sobre el equipo.
Reduzca los pasos de investigación repetitivos: Sandbox navega por las páginas, resuelve CAPTCHA y activa automáticamente el contenido oculto. Aumente la capacidad de Nivel 1: el mismo equipo puede manejar más alertas de phishing de IA durante cada turno. Absorba los aumentos repentinos sin aumentar inmediatamente la plantilla: la automatización reduce la cantidad de mano de obra necesaria en todos los casos. Permitir el juicio humano para amenazas complejas: los analistas pueden unirse a las sesiones siempre que sea necesario considerar un caso en detalle.
3. Proporcione informes listos para usar al Nivel 2 para una respuesta rápida
Incluso después de que el Nivel 1 confirme una amenaza, la escalada puede llevar tiempo. Cuando los hallazgos se distribuyen entre diferentes herramientas, los miembros superiores del equipo deben repetir las mismas comprobaciones antes de decidir qué hacer a continuación.
Los informes de nivel 1 de ANY.RUN brindan a su equipo información clara de transferencia que puede usarse tan pronto como se complete el análisis. Resume veredictos, IOC clave, indicadores de comportamiento y mapeo de MITRE ATT&CK. El resumen de IA explica lo que sucedió y por qué la actividad es maliciosa, y las recomendaciones de IA sugieren los próximos pasos de investigación y respuesta.
Informe de nivel 1 de ANY.RUN con detalles de análisis, incluida una descripción general de la IA y recomendaciones para una investigación más profunda y transferencias más rápidas
En lugar de pasar datos técnicos sin procesar al Nivel 2, el Nivel 1 puede enviar informes estructurados que ya son útiles para escalar y responder rápidamente.
Esto mejora el traspaso entre la clasificación y la respuesta.
Evite la reestructuración de casos de Nivel 2: los equipos senior reciben veredictos, IOC, hallazgos de comportamiento y mapeo MITRE ATT&CK en un solo informe. Reducir los retrasos entre la clasificación y la contención. Los hallazgos claros y los próximos pasos recomendados ayudan a los equipos de respuesta a actuar más rápido. Estandarice las escaladas entre turnos: todas las transferencias siguen la misma estructura, lo que reduce las brechas a medida que los casos avanzan entre los miembros del equipo. Proporcionar una mejor supervisión a los líderes del SOC: los gerentes pueden identificar cuellos de botella, verificar la calidad de las escalaciones y ver dónde están perdiendo tiempo sus equipos.
Convierta la clasificación rápida de phishing en una protección empresarial más sólida
El phishing con IA es algo más que crear más alertas. Los equipos de SOC se mantienen ocupados mientras las amenazas reales se acercan al negocio.
Los equipos que están a la vanguardia están brindando a los Nivel 1 una manera más rápida de confirmar amenazas, resolver casos de rutina y escalar incidentes apropiados utilizando evidencia ya existente.
Equipos que utilizan el informe ANY.RUN:
El 94% de los usuarios reportan una clasificación más rápida y una toma de decisiones más clara. Las cargas de trabajo de nivel 1 se reducen hasta en un 20 %. La escalada del Nivel 1 al Nivel 2 se reduce en un 30%. Ahorre hasta 21 minutos en MTTR por caso.
ANY.RUN reduce la sobrecarga de Nivel 1 y aumenta la capacidad del SOC para detener amenazas de alto riesgo antes de que interrumpan las operaciones o provoquen incidentes costosos.
Source link
