introducción
El equipo de seguridad empresarial promedio cuenta con más de 40 herramientas de seguridad, lo que les brinda visibilidad total de la telemetría interna y los datos de activos. Sin embargo, estas herramientas a menudo funcionan en silos y generan alertas y datos (duplicados). Sin embargo, los tiempos de permanencia de las brechas siguen siendo largos (aproximadamente 43 días), las ventanas de respuesta continúan cerrándose antes de que los equipos puedan tomar medidas y los analistas ahogan el ruido de la priorización en lugar de detener las amenazas.
El problema no es el esfuerzo. Es arquitectura.
Los programas de seguridad se crearon para un mundo donde las amenazas se mueven lo suficientemente lentamente como para que los humanos coordinen las respuestas manualmente. Ese mundo ya no existe. La forma en que se desarrollan y utilizan las capacidades de IA, especialmente las herramientas de IA de vanguardia, requiere una postura más proactiva hacia la seguridad, así como respuestas de velocidad de las máquinas para combatir a los adversarios que se mueven rápidamente. El marco de Gestión Continua de la Exposición a Amenazas (CTEM) de Gartner le ayuda a pasar de evaluaciones reactivas puntuales a ciclos continuos e iterativos de alcance, descubrimiento, priorización, validación y movilización. Sin embargo, poner en funcionamiento CTEM de extremo a extremo sigue estando fuera del alcance de la mayoría de las organizaciones. Esto se debe a que las herramientas necesarias para operar CTEM aún no funcionan juntas.
Problemas arquitectónicos detrás de cada brecha de seguridad
Una pila de seguridad moderna es una colección de herramientas especializadas. Tiene una plataforma de inteligencia de amenazas aquí, un escáner de vulnerabilidades allá, una herramienta BAS (simulación de ataques e infracciones) separada y un SIEM que intenta unirlo todo. Cada uno genera datos. Ninguno cierra el círculo.
Cuando se correlaciona la inteligencia, se priorizan las exposiciones, se realiza la validación y se ejecutan los tickets de remediación, el atacante a menudo ya ha seguido adelante. El cuello de botella no es una sola herramienta. Es el espacio en blanco entre ellos.
Este es un problema arquitectónico que afecta a los líderes de seguridad todas las noches y que los asistentes de inteligencia artificial de propósito general integrados en los flujos de trabajo existentes realmente no pueden resolver. Puede resultar útil pedirle a un chatbot que resuma su informe de amenazas. No es lo mismo que tener un sistema de inteligencia artificial que correlaciona de forma autónoma ese informe con superficies vivas expuestas, valida si se mantienen los controles y prioriza qué arreglar primero.
Qué significa realmente «Agentic» y por qué es importante ahora
El término «IA» se usa tanto en marketing de seguridad que vale la pena entender exactamente qué significa realmente la IA del agente en este contexto.
La IA de asistencia esperará tus preguntas. Resumir, traducir y buscar. Esto permite a los analistas hacer las mismas cosas que hacían antes, más rápido.
El agente AI funciona. Entiende el contexto, establece prioridades de forma autónoma y ejecuta flujos de trabajo de varios pasos continuamente en segundo plano a la velocidad de la máquina en lugar de consultas únicas en todo el sistema.
Esta distinción es importante porque el entorno de amenazas también opera cada vez más a la velocidad de la máquina. Los rápidos avances en los modelos de IA de vanguardia están acortando significativamente el tiempo que transcurre desde el descubrimiento hasta la explotación. El equipo de seguridad que se mantiene por delante no es el que tiene más analistas. Serán ellos aquellos cuya infraestructura de IA pueda seguir su ritmo de forma autónoma.
Especialmente para CTEM, esto significa que las siguientes tres funciones ya no deberían ser flujos de trabajo separados:
Haga operativa la inteligencia sobre amenazas: capture, estructure y contextualice continuamente datos sobre amenazas, exposición y vulnerabilidad para su entorno. Comprenda qué están haciendo los atacantes y qué activos e infraestructura pueden estar en riesgo. Pruebe y valide su postura de seguridad: pruebe continuamente si sus controles, equipos y procesos realmente funcionan contra las acciones de los adversarios a los que está rastreando. Movilizar la respuesta: priorizar y enrutar automáticamente acciones de remediación basadas en evidencia y riesgos verificados y basados en inteligencia.
Cuando estas tres funciones operan como un circuito cerrado, con agentes de IA moviendo información y decisiones entre funciones sin esperar a que un humano asuma el control, un programa CTEM deja de ser un marco sobre una diapositiva y se vuelve operativo.
IA agente para operacionalizar CTEM y la seguridad proactiva
La arquitectura de gestión de amenazas del agente es lo que marca la diferencia entre un marco CTEM que reside dentro de un documento de estrategia y uno que se ejecuta continuamente en segundo plano. Esto requiere una capa de orquestación de IA dedicada que actúe como capa de contexto subyacente con agentes interconectados. En lugar de que los analistas vinculen manualmente la inteligencia sobre amenazas con la validación de riesgos, los agentes realizan continuamente el trabajo pesado en función del contexto y el razonamiento correctos. Todo el flujo de trabajo es autónomo: los agentes transfieren tareas de un producto a otro y entre productos, manteniendo al mismo tiempo la participación humana en la toma de decisiones finales. Los analistas pueden convertirse en orquestadores de verdaderas acciones impulsadas por la inteligencia.
Los equipos de seguridad que desarrollan esta capacidad no están esperando el conjunto de herramientas perfecto. Primero construyen el modelo operativo y dejan que la arquitectura se ponga al día. Las empresas que lleguen primero obtendrán ventajas estructurales que crecerán con el tiempo, incluidos mejores datos, mejores análisis, mejores pruebas e incluso una IA mejor adaptada. Un LLM de propósito general no es adecuado para esto. Requiere contexto y know-how basado en el producto.
Las organizaciones que están resolviendo este problema más rápidamente son aquellas que tratan a CTEM como un modelo operativo en lugar de una única herramienta, y eligen una infraestructura de IA construida específicamente para ejecutarlo de un extremo a otro. Vea el modelo operativo en acción usando XTM One CTEM Assistant.
Véalo en acción: seminario web en vivo
Filigran está realizando una sesión en vivo explicando cómo es esto realmente. En resumen, le mostraremos cómo los equipos de seguridad pueden utilizar la IA del agente para conectar inteligencia, verificación de exposición y respuesta en un flujo de trabajo único y continuo sin brechas de transferencia que ralenticen cada paso intermedio.
La sesión incluye:
Por qué el cambio a la IA de agentes cambia no solo las herramientas sino también el modelo operativo de su programa de seguridad Por qué los agentes dedicados funcionan mejor que la IA de propósito general cuando la precisión importa Cómo evaluar la infraestructura de IA de los agentes para su propio programa
Regístrese para una sesión en vivo u obtenga una grabación.
Source link
