Jesús Díaz, Cortex SE Manager para Centro y Sur de Europa en Palo Alto Networks.

Hay muchas películas en la historia del cine que enfrentan a humanos contra máquinas y, en la mayoría de ellas, el humano termina saliendo victorioso. Sin embargo, se trata tan sólo de una entelequia cinematográfica y la realidad es bien distinta: cuando una máquina está programada para realizar una tarea automáticamente es invencible. Y esta realidad es justamente la que aprovechan los atacantes actuales, automatizando sus operaciones para generar multitud de variantes y acciones que, en el mejor de los casos, se traducen en miles de eventos en los SIEM con los que han de lidiar manualmente los defensores (o sea la gente de SecOps en los SOC), invirtiendo incontables horas en su gestión y dejando escapar las amenazas más serias que vuelan bajo el radar.

Resulta por tanto crítico automatizar tanto como sea posible la operativa del SOC, sacando al humano de las tareas repetitivas, de modo que pueda centrar su talento en el descubrimiento y gestión de los ataques más serios. Para ello, es fundamental que el SOC autónomo cuente con dos piezas interrelacionadas. Por un lado, un data-lake que recoja y correlacione la información desde cualquier fuente de red, nube o endpoint, sobre el que aplique algoritmos de inteligencia artificial (normalmente machine learning), que diferencien los comportamientos usuales de los anómalos e identifiquen las amenazas más complejas automáticamente. La segunda pieza es un orquestador de seguridad que, conectado a ese data-lake central y al resto de la infraestructura de seguridad, sea capaz de ingerir los incidentes, enriquecerlos contra las diferentes fuentes de inteligencia para validar su gravedad, y actúe en consecuencia bloqueando máquinas, generando reglas automáticas en los cortafuegos, o modificando configuraciones en nube pública.

Volviendo a la analogía inicial del cine, Sarah Connor no podrá jamás vencer a Terminator en la vida real si no cuenta con armas similares. Y eso es justamente lo que Cortex de Palo Alto Networks propone.