Así como los triatletas saben que el rendimiento máximo requiere más que un equipo costoso, los equipos de ciberseguridad descubren que el éxito de la IA no depende de las herramientas que implementan y más con los datos que los hacen funcionar
Problemas de comida chatarra de ciberseguridad
Imagine a un triatleta que no gasta dinero en equipos, como una bicicleta de fibra de carbono, un traje de neopreno hidrodinámico o un reloj GPS de precisión. A pesar del equipo premium, su rendimiento sufre porque tienen fallas fundamentalmente defectuosas en sus cimientos. Los triatletas pueden incluso determinar los resultados raciales al ver la nutrición como la cuarta disciplina de la capacitación que puede tener un impacto significativo en el rendimiento.
Los centros de operaciones de seguridad de hoy (SOCSS) enfrentan problemas similares. Invierten mucho en sistemas de detección con IA, plataformas de respuesta automatizadas y análisis de aprendizaje automático. Esto es equivalente al equipo de triatlón de grado profesional. Pero impulsan estas herramientas sofisticadas utilizando alimentos de datos heredados que carecen de la riqueza y el contexto que los modelos modernos de IA deben ejecutar de manera efectiva.
Así como los triatletas necesitan nadar, andar en bicicleta y correr sin problemas, los equipos de SOC deben ser excelentes para detectar, investigar y responder. Pero sin la propia «Cuarta Disciplina», los analistas de SOC trabajan sin registros de puntos finales dispersos de comunicación, flujos de alerta fragmentados y silos de datos. Es como tratar de completar un triatlón alimentado con solo una bolsa de consejos y cerveza. Puede cargar azúcar y calorías el día de la carrera para garantizar la energía para que suceda, pero no es un régimen sostenible a largo plazo que optimice su cuerpo para el mejor rendimiento.
Los costos ocultos de la dieta de datos heredados
«Vivimos la primera ola de la Revolución AI, y hasta ahora, Spotlight se ha centrado en modelos y aplicaciones», dijo Greg Bell, director de estrategia de Corelight. «Eso tiene sentido, porque el impacto en la defensa cibernética es enorme. Pero creo que está empezando a ver la percepción de Dawning de que se está medir por la calidad de los datos de ML y las herramientas Genai que consumen».
Esta desconexión entre las capacidades de IA avanzadas y la infraestructura de datos obsoletas crea lo que los expertos en seguridad ahora llaman «deuda de datos».
Los datos de seguridad tradicionales son similares a un diario de capacitación de un triatleta, a menudo lleno de entradas incompletas. «Corrí hoy. Sentí que estaba bien». Proporciona información básica, pero no hay métricas sólidas, contexto ambiental o correlaciones de rendimiento que permitan una mejora real. Por lo general, un feed de datos heredados incluye:
Un registro de punto final escaso que captura eventos pero pierde un alimento de solo contextos de comportamiento, le dice que algo ha sucedido, pero no es una fuente de datos aislada de historia completa que no puede correlacionarse entre sistemas o períodos.
El enemigo ya ha fortalecido su actuación
Los defensores luchan con datos sobre la desnutrición en el consumo de IA, pero los atacantes han optimizado su enfoque con la disciplina para los atletas de élite. Están aprovechando la IA para que cree estrategias de ataque adaptativas más rápidas, más baratas y más precisas que antes.
Automatice el reconocimiento y aproveche el desarrollo para acelerar las velocidades de ataque, reducir los costos por ataque y aumentar el enfoque potencial de personalización del volumen de amenazas Aster Aster.
Por otro lado, muchos SOC todavía están tratando de defenderse de estas amenazas mejoradas con IA utilizando información básica de frecuencia cardíaca, utilizando datos equivalentes a regímenes de capacitación en la década de 1990, cuando la competencia utiliza análisis de rendimiento integrales, sensores ambientales y modelado predictivo.
Esto crea una brecha de rendimiento creciente. A medida que los atacantes se vuelven más refinados en el uso de IA, la calidad de los datos de defensa se vuelve cada vez más importante. Los datos deficientes no solo lentan la detección. Soca activamente la efectividad de las herramientas de seguridad de IA y crea puntos ciegos que los enemigos sofisticados pueden explotar.
Datos habilitados para la AI: se requiere un SOC mejorado por el rendimiento
Esta solución es un replanteamiento fundamental de la arquitectura de datos de seguridad para lo que el modelo de IA realmente necesita para funcionar de manera efectiva. Esto significa pasar de una alimentación de datos heredados a lo que se llama datos de «AI-REAID», es decir, pasar a la información configurada, enriquecida y optimizada para el análisis y la automatización de IA.
Los datos de AI-Reaid comparten métricas y características de rendimiento integrales que los triatletas de élite usan para optimizar su entrenamiento. Así como estos atletas rastrean todo, desde la producción y la cadencia hasta las condiciones ambientales y los marcadores de recuperación, los datos de seguridad de IA Ready capturan no solo lo que sucedió, sino también el contexto completo que rodea cada evento.
Esto incluye la telemetría de la red que proporciona visibilidad antes del cifrado, evidencia borrosa, metadatos integrales que revelan patrones de comportamiento y formas estructuradas que permiten que los modelos de IA se procesen inmediatamente sin un preprocesamiento extenso. Los datos están especialmente diseñados para suministrar tres componentes clave de las operaciones de seguridad con IA.
La detección de amenazas impulsada por la IA puede ser dramáticamente efectiva cuando está equipada con evidencia de la red de grado forense que incluye el contexto completo y las colecciones en tiempo real en entornos locales, híbridos y de múltiples nubes. Esto permite que los modelos de IA identifiquen patrones y anomalías sutiles que no son visibles en los formatos de registro tradicionales.
Los flujos de trabajo de IA transforman la experiencia del analista al proporcionar procesos escritos por expertos mejorados con análisis de carga útil impulsado por la IA, contexto histórico y resúmenes a nivel de sesión. Esto es equivalente a tener un entrenador de clase mundial que pueda analizar instantáneamente los datos de rendimiento y proporcionar una guía concreta y procesable para la mejora.
La integración de un ecosistema habilitado para AI permite que los datos habilitados para AI fluyan sin problemas a SIEM, plataformas SOAR, sistemas XDR y lagos de datos (plataformas SOAR, sistemas XDR y lagos de datos) sin la necesidad de integración o conversiones de formato personalizadas. Es automáticamente compatible con casi todas las herramientas en la armería del analista.
Efectos combinados de excelentes datos
El impacto de la migración a datos habilitados para AI crea un efecto complejo en todas las operaciones de seguridad. Los equipos pueden correlacionar patrones de acceso inusuales con escaladas de privilegios en entornos de nubes de corta duración. Esto es importante para lidiar con las amenazas nativas de la nube que las herramientas tradicionales pierden. Obtienen una cobertura ampliada de amenazas nuevas, evitables y de día cero, al tiempo que permiten un desarrollo más rápido de nuevas detecciones.
Quizás lo más importante es que los analistas pueden comprender rápidamente las líneas de tiempo de los incidentes sin analizar los registros sin procesar, obtener un resumen del lenguaje sencillo del comportamiento sospechoso entre los anfitriones y las sesiones, y centrar su atención en alertas prioritarias con una legitimidad clara de por qué cada incidente es importante.
«Los datos contextuales de alta calidad son el ‘combustible limpio’ que la IA necesita para lograr su potencial completamente», agregó Bell. «Un modelo que está hambriento de datos de calidad es inevitablemente decepcionante. Cuando el aumento de IA se convierte en la norma tanto para el ataque como para la defensa, una organización exitosa se convierte en una organización que comprende las verdades fundamentales. En el mundo de la seguridad de la IA, usted es lo que come».
Las decisiones de capacitación que cada soc debe hacer
Una vez que la IA se convierte en la norma tanto para el ataque como para la defensa, las herramientas de seguridad impulsadas por la IA no pueden alcanzar su potencial sin los datos correctos. Las organizaciones que continúan suministrando datos heredados a estos sistemas pueden descubrir inversiones significativas en tecnologías de próxima generación que se degradan contra amenazas cada vez más sofisticadas. Aquellos que conocen esto no se tratan de intercambiar inversiones de seguridad existentes. Es para proporcionar combustible de alta calidad para proporcionar sus promesas: están en condiciones de desbloquear la ventaja competitiva de la IA.
En una batalla intensificada con la amenaza de AI-mejorado, el rendimiento máximo comienza con algo que realmente alimenta al motor.
Para obtener más información sobre los modelos de datos de seguridad estándar de la industria donde todos los principales LLM ya están capacitados, visite www.corelight.com. CoreLight proporciona telemetría de grado forense a los flujos de trabajo de Power SoC, la detección de impulso y habilita un ecosistema SOC más amplio.
Source link
