Pregunte a los expertos en ciberseguridad sobre la detección y respuesta de red (NDR) y es posible que aún escuche que es demasiado ruidoso y utiliza demasiados datos. Pero si pregunta a los equipos que ejecutan NDR que incluyen capacidades de inteligencia artificial de agentes, escuchará que en realidad la están usando para detectar amenazas antes, clasificar más rápido y reducir los falsos positivos. La persistencia de viejos agravios se debe en parte a la persistencia de las reputaciones y en parte a que los NDR evolucionaron más rápido que las historias.
origen del ruido
La implementación de NDR proporciona a los analistas visibilidad constante del tráfico de la red, el comportamiento de las sesiones cifradas y las anomalías del protocolo. Pero la visibilidad a menudo se presenta como materia prima más que como inteligencia terminada.
Algunos sistemas requirieron un ajuste manual exhaustivo durante la implementación para evitar la sobrecarga de SIEM. Las organizaciones que no pudieron invertir en ese momento (o no conocían su importancia) ayudaron a solidificar la reputación de NDR como una «manguera de advertencia contra incendios» o «ruidosa».
NDR con agente AI convierte el ruido en historia
Agentic AI ingiere datos de forma autónoma, prioriza alertas, realiza correlación y análisis inicial, y maneja tareas repetitivas y que consumen mucho tiempo que, de otro modo, serían enterradas por los analistas. Aquí se produce un acontecimiento inesperado. La cantidad de datos que alguna vez podría abrumar a su equipo si NDR no se coordinaba adecuadamente ahora es un activo estratégico. Debido a que la IA puede ingerir y analizar miles de puntos de datos simultáneamente, el «ruido» puede proporcionar una base rica para encontrar señales procesables, como conexiones entre actividades de baja gravedad, informativas u otras actividades discretas que la mayoría de los equipos SOC no tienen la capacidad de combinar. El sistema puede detectar detecciones que de otro modo podrían haberse pasado por alto.
La IA maneja grandes cantidades de datos y tareas tediosas, lo que libera a los analistas para centrarse en las amenazas clave. Impulsado por agente AI, NDR combina historias totalmente correlacionadas a partir de datos de red para descubrir un conjunto priorizado de detecciones, como conexiones anómalas relacionadas con inicios de sesión fallidos, consultas de DNS sospechosas y acceso anómalo a archivos. Cada detección se entrega con evidencia de red que los analistas necesitan para el contexto inmediato.
Si bien los NDR deben ajustarse para ignorar el verdadero ruido «sin sentido», las capacidades de correlación de la IA del agente también reducen la necesidad de ajuste manual, con el que algunas implementaciones de NDR han tenido problemas en el pasado, al identificar y automatizar mejoras de detección.
Comparación de NDR sin y con agente AI
Comience sin agente AI. Imagine que en un período típico de 24 horas, su sistema NDR detecta 847 anomalías de red y su modelo de ML marca 312 como potencialmente maliciosas. Actualmente, los analistas intervienen y los clasifican e investigan manualmente, posiblemente ignorando muchos como falsos positivos. En definitiva, hay cuatro detecciones que es necesario abordar.
Ahora imagine la misma ventana y la misma cantidad de anomalías para las cuales el agente AI maneja la clasificación. Conecte alertas y motivos basados en evidencia y saque conclusiones. A continuación, presente al analista cuatro detecciones prioritarias para que las revise. Cada uno va acompañado de evidencia relevante y acciones de respuesta recomendadas. Por ejemplo, determinamos que una anomalía de DNS se correlaciona con un nuevo proceso en el punto final, marcamos identidades comprometidas y relacionamos patrones TTP con balizas Cobalt Strike. El NDR avanzado también permite a los analistas ver en profundidad cómo la IA llegó a sus conclusiones para lograr una transparencia total. Los analistas pueden simplemente seleccionar una detección de alta prioridad para comenzar su revisión.
Desarrollo operativo
La IA agente todavía no elimina por completo la necesidad de una implementación adecuada. Tres áreas clave contribuyen a que NDR se convierta en un socio confiable en lugar de un vecino ruidoso: establecimiento de puntos de referencia, mantenerse informado e integración del SOC.
revestimiento de base
NDR tiene un motor de detección que puede generar alertas de inmediato, pero algunos métodos, como la detección de anomalías, requieren que la plataforma se ejecute durante un período de tiempo para establecer una base de operación normal de la red. Durante este período, observe los flujos de tráfico típicos, la actividad conocida de servidores y terminales, y los dispositivos esperados. La mayoría de las plataformas NDR ya automatizan este proceso, lo que ayuda al sistema a distinguir entre operaciones rutinarias y amenazas verdaderas e identificar tráfico malicioso. El ajuste se realiza en función de esa línea de base. Cuando se producen falsos positivos, los analistas pueden clasificarlos y eliminarlos de la cola de alertas, lo que ayuda a volver a entrenar las detecciones y reducir aún más el ruido.
Por favor estad atentos
Las redes cambian. Las nuevas aplicaciones, las cargas de trabajo en la nube, los dispositivos desconocidos y los flujos de datos impulsados por la IA pueden cambiar la línea base y, a medida que la línea base envejece, los falsos positivos pueden aumentar. El ajuste regular mantiene el NDR calibrado y permite a la IA identificar patrones emergentes antes de que se conviertan en ruido.
Integración SOC
Los datos NDR pueden alimentar otros sistemas dentro del SOC impulsado por IA, y un mejor combustible significa resultados más limpios. Esto es importante por cuestiones de ruido. Cuando la IA tiene datos de alta fidelidad con los que trabajar, puede diferenciar mejor entre amenazas verdaderas y falsos positivos.
Como ejemplo, un informe reciente demostró cuán importante es la calidad de los datos, ya que un tipo de datos mejoró los puntajes de las pruebas CTF en más de un 350%. En este informe, los mismos datos dieron como resultado una precisión mejorada (95 % frente a 26 %) y casi un 300 % más de resultados de IR en comparación con los formatos de registro comunes. En las pruebas realizadas durante el estudio, los modelos de Frontier AI tuvieron un rendimiento comparable. Esto significa que la calidad de los datos, más que la selección del modelo, tuvo un impacto significativo en los resultados de seguridad.
Estos mismos datos pueden impulsar conexiones a otras herramientas AI SOC, SIEM impulsados por AI (como Charlotte de CrowdStrike) y modelos locales a través de MCP. Las organizaciones que aprovechan al máximo sus sistemas utilizan API y fuentes de descubrimiento estratégicamente para permitir que NDR AI realice correlaciones en las alertas antes de que lleguen a otras plataformas, lo que reduce aún más el ruido antes de que entren en la cola de analistas.
conclusión
Los mitos suelen persistir porque son fáciles de repetir. La narrativa de que “NDR es ruidosa” está siendo reemplazada rápidamente por IA diseñada para correlacionarse a escala:
Crear contexto para procesar el volumen Encontrar señales perdidas en el ruido Reducir la dependencia del ajuste manual Cambiar el enfoque del analista a amenazas de mayor gravedad
La implementación adecuada se encarga del resto. Lo que surge es NDR, que proporciona mayor visibilidad, respuesta más rápida y, en última instancia, permite al SOC seguir el ritmo de la red.
Descubrimiento y respuesta de la red Corelight
Confiada para defender las redes más sensibles del mundo, la plataforma de detección y respuesta de red (NDR) de Corelight combina visibilidad profunda, inteligencia artificial del agente y detección avanzada de comportamiento y anomalías para ayudar a los SOC a descubrir amenazas nuevas y que cambian rápidamente. Obtenga más información sobre Corelight aquí.
Source link
