Jesús Díaz Barreno, Director of Systems Engineering, Palo Alto Networks

Desde el primer momento, y abiertamente, reconozco que el título de este artículo pretende provocar al lector para fomentar la reflexión y el debate sobre hasta qué punto es posible automatizar las operaciones de seguridad. Vaya también por delante que no creo que la automatización completa de los seres humanos sea viable a corto plazo, ni mucho menos algo deseable. No obstante, y viendo el panorama del sector de la ciberseguridad en el que todo el mundo habla de IA-Inteligencia Artificial y ML-Machine Learning, parece que estamos a punto de encontrarnos a la vuelta de la esquina con un “CISO-nator” (pronunciado “cisoneitor”).

Creo necesario aclarar en primer lugar que el ML no equivale a la IA, aunque en muchas ocasiones ambos términos se intercambien. La IA define de manera general tres capacidades principales: construcción de inteligencia que pueda resolver alguna tarea de manera similar a como la realiza el cerebro humano, inteligencia capaz de resolver todas las tareas que realiza un humano y, en su versión más avanzada, inteligencia capaz de superar al cerebro humano. El ML pertenece a la primera categoría, la forma más básica de IA, y se utiliza fundamentalmente para la clasificación automática. Para ello, en el ML se crean modelos matemáticos que entrenan un sistema con el fin de obtener como resultado un algoritmo que permita realizar identificaciones sobre muestras desconocidas. Estos sistemas se nutren de grandes conjuntos de datos para los que se conoce el resultado de su clasificación (ML supervisado), conjuntos de datos para los que no se conoce el resultado y se espera que el sistema cree las diferentes categorías (ML no supervisado), o una mezcla de ambos (ML semi-supervisado). En cualquier caso, es crucial contar con volúmenes de datos relevantes y fiables para que el aprendizaje sea representativo del escenario final a resolver.

Una vez aclaradas mis intenciones y algunos conceptos básicos alrededor de la IA y el ML, he de decir que sí que estoy convencido de que es posible automatizar muchas de las tareas que realiza un CISO, o mejor dicho el SOC, para producir información que le permita tomar decisiones mejor informadas y mucho más eficazmente. Para ello, es fundamental contar con buenos conjuntos de datos que entrenen los algoritmos de ML, así como de sistemas de automatización de la respuesta para los eventos más comunes o sencillos de gestionar. 

Todos estos datos, logs en realidad, deben ser ingeridos desde el SOC como punto centralizador de las operaciones de seguridad, desde múltiples fuentes, y de manera normalizada para abstraerlos del nivel superior, donde se aplican los algoritmos de aprendizaje, clasificación y respuesta. Los sistemas de ingesta y normalización han sido tradicionalmente los SIEM, que actúan como una especie de base de datos de logs agnóstica, y que pienso que han funcionado en general bien en esta capa inicial, pero que han fracasado a la hora de ofrecer un aprendizaje sobre las tendencias y categorías, y en la detección de anomalías de seguridad. El motivo principal es la falta de conocimiento y modelos de ciberseguridad con los que entrenar adecuadamente los sistemas. Así, se han dejado al libre albedrío de cada CISO, que ha requerido invertir recursos humanos y/o dinero para construir reglas que permitan correlar y extraer cierta inteligencia desde los datos en bruto.

La evolución pasa por tanto por trabajar en la parte del ML, incorporando inteligencia de ciberseguridad, que permita realizar el entrenamiento y clasificación de los modelos de manera eficaz, con muestras y conocimientos relevantes en el campo ciber, para que el propio sistema detecte automáticamente los patrones que se desvían de la norma, y bloquee o alerte la actividad asociada a los mismos.

La última pieza del puzle es la automatización de la respuesta, una vez que los incidentes son correctamente clasificados. Para ello, el SOC ha de contar con herramientas que sean capaces de recibir los incidentes, generar tickets asociados a los mismos e, idealmente, resolver, cerrar y documentar todos aquellos que son esperables y para los que se pueden generar procedimientos de actuación.

Gracias a la automatización del SOC no conseguiremos un CISO-Nator, pero sí eliminaremos gran parte de la paja y permitiremos que el CISO y su equipo se centren en el grano, aquellos eventos que requieren su total atención, mejorando significativamente los tiempos de respuesta y la capacidad de enfrentarse a los incidentes más complejos.