¿Qué papel está jugando la inteligencia artificial en la ciberseguridad? ¿Cómo se pueden optimizar los SOC? ¿Cómo deben abordar las organizaciones las amenazas de identidad? ¿Cómo se implementa una política Zero Trust sin afectar a la operativa diaria de una compañía? Son algunas de las preguntas a las que responde Gorka Sadowski, director de Estrategia de Exabeam, plataforma referente mundial en gestión de eventos y seguridad (SIEM). El experto en ciberseguridad y ex analista de Gartner reflexiona sobre estas cuestiones en una entrevista Vídeo Tip a raíz de su participación en la charla #EnModoAvión “Próximo vuelo: IA y Zero Trust. Ciberseguridad 360º en el sector aéreo” organizada en septiembre de 2023 en Panamá por Cuatroochenta y Sofistic.
El panorama de la ciberseguridad no muestra signos de desaceleración, sino todo lo contrario. Los ciberataques siguen aumentando. En el segundo trimestre de 2023, han crecido un 8% de forma global, según datos de una investigación de Check Point. A los ataques ransomware que han afectado a organizaciones de todo el mundo o la proliferación de vulnerabilidades y amenazas móviles, se suman ahora los últimos ataques lanzados gracias a la inteligencia artificial generativa (IAGen). Antes estos nuevos desafíos las compañías buscan protegerse y responder de forma rápida a los incidentes para intentar minimizar el impacto. Con este contexto no es de extrañar la consultora Gartner prevea un crecimiento del 14% del gasto mundial en seguridad y gestión de riesgos en 2024.
Detección y respuesta con IA para ataques con IA
Después del ransomware, la ingeniería social es una de las principales amenazas a las que se enfrentan las organizaciones. Según explica Gorka Sadowski en la entrevista, los ciberdelincuentes están aprovechando los sistemas de inteligencia artificial generativa para automatizar, sofisticar y multiplicar los ataques de phishing. Alimentan estos modelos de procesamiento del lenguaje natural con extractos de textos, publicados en internet o en la redes sociales, de manera que son capaces de generar mensajes o correos electrónicos imitando el estilo de una persona determinada y, así, intentar engañar a trabajadores de una compañía, para obtener claves, accesos no autorizados o, incluso, transferencias económicas.
Aunque la inteligencia artificial está abriendo nuevos desafíos y riesgos en materia de ciberseguridad, también está jugando un papel protagonista en la detección y respuesta a amenazas. Gorka Sadowski lo sabe bien porque Exabeam, del que es partner Sofistic, la unidad de ciberseguridad de Cuatroochenta, fue pionera en la incorporación de aprendizaje automático para detectar de forma inmediata las amenazas. Este tipo de tecnología analiza grandes cantidades de datos para entender el comportamiento de un entorno o una organización, identificar anomalías y lanzar alertas en tiempo real.
¿Cómo se puede optimizar el SOC?
En la estrategia de buscar la detección temprana de incidentes para poder responder de la mejor manera posible minimizando daños, se incluyen los Security Operations Center (SOC). Este tipo de servicios ofrecen la monitorización de la ciberseguridad de una organización de forma continua las 24 horas los 7 días de la semana y una vigilancia de posibles amenazas tanto internas como externas. Para Gorka Sadowski la optimización de estos servicios pasa por “mejorar los procesos” y el funcionamiento de cada una de las fases del centro de operaciones.
Y eso consiste, según el experto, en mejorar la recolección de datos, la clasificación y la investigación de incidentes. Una vez más, aquí, los sistemas de inteligencia artificial pueden intervenir para recoger información de diferentes fuentes y responder a incidentes de seguridad sin intervención humana. Todo ello permite reducir las falsas alertas y ganar eficacia para mejorar la protección y defensa de las organizaciones.
Control continuo de accesos y credenciales
Uno de los principales objetivos de los ataques de phishing que mencionábamos es el robo de identidades para acceder a sistemas no autorizados o ejecutar malware. Gorka Sadowski alerta que “en el 80% de los ataques se utilizan, en un momento u otro, credenciales robadas”, ya sea en el acceso ya sea para hacer movimientos laterales o para escalar cuando ya se ha conseguido entrar en una red. La autenticación multifactor es una de las técnicas de prevención y protección que, según el experto, debe completarse con otras medidas y con una robusta estrategia de detección y respuesta.
En este sentido, cobra especial importancia la política de seguridad Zero Trust. “No es una herramienta, sino una filosofía” para vigilar de manera constante la actividad de los usuarios, tanto internos como externos, de una organización o entorno. Es una estrategia muy efectiva que, según Sadowski, las compañías hubieran “tenido que adoptar desde los inicios de la computación”.