ai course cyber reading real world examples of applied ai based threat intelligence
1.0.0
Seleccione las pestañas para navegar por el contenido.
Introducción
Estudio de caso: Google y Mandiant
Estudio de caso: Microsoft
Estudio de caso: IBM
Resumen
Recursos
La implementación de la IA en la inteligencia sobre amenazas se ha vuelto cada vez más frecuente en escenarios del mundo real, con varias empresas destacadas a la cabeza. Esta lección examina estudios de casos de organizaciones, incluidas Google, Microsoft e IBM, para mostrar cómo aprovechan la IA para mejorar sus capacidades de inteligencia sobre amenazas.
Al final de esta lección, podrá
Explore cómo Google, Microsoft e IBM utilizan la IA para obtener inteligencia sobre amenazas
Google utiliza inteligencia artificial para analizar miles de millones de señales de seguridad diariamente para identificar amenazas potenciales. El modelado avanzado permite a los clientes de Google crear flujos de trabajo complejos y procesos de respuesta confiables y repetibles. Al combinar el sólido análisis de datos y los recursos informáticos de Google con décadas de conocimiento de seguridad adquirido mediante la adquisición de Mandiant en 2022, los clientes pueden detectar rápidamente indicadores de compromiso, responder y mitigar amenazas.
Mandiant, reconocida por su experiencia de primera línea y su inteligencia sobre amenazas líder en la industria, ha estado a la vanguardia en la lucha contra las violaciones de seguridad durante los últimos 18 años. Con la adquisición de Mandiant, Google también adquirió el conocimiento y la experiencia de más de 900 consultores y analistas. Las soluciones dinámicas de defensa cibernética que Mandiant brinda a Google protección contra amenazas cibernéticas y un equipo altamente capacitado para guiar la gestión de respuesta a incidentes cuando ocurren violaciones de seguridad y ataques cibernéticos.
La popularidad de la computación en la nube en los últimos años ha introducido diferentes preocupaciones en el panorama de la seguridad cibernética. La naturaleza interconectada de los entornos de nube requiere medidas sólidas de ciberseguridad para salvaguardar la integridad, la confidencialidad y la disponibilidad de los datos.
Organizaciones como Google Cloud deben garantizar la confidencialidad de la información confidencial, protegerla contra el acceso no autorizado, evitar filtraciones de datos y mantener el cumplimiento de los requisitos reglamentarios. Además, deben defenderse contra amenazas en evolución, como malware, ransomware, ataques de phishing y amenazas internas dirigidas a los sistemas en la nube.
Las consecuencias de una ciberseguridad inadecuada en la nube pueden ser graves. Las infracciones pueden provocar importantes pérdidas financieras, daños a la reputación, implicaciones legales y la pérdida de la confianza del cliente. Además, como los entornos de nube suelen albergar infraestructuras y servicios críticos, las interrupciones o el acceso no autorizado pueden tener implicaciones de gran alcance para las empresas y sus clientes. Para abordar estos desafíos, las organizaciones deben priorizar medidas de ciberseguridad adaptadas al panorama de la computación en la nube. Esto incluye la implementación de sólidos controles de acceso, cifrado, seguridad de red y soluciones de monitoreo de amenazas. Las evaluaciones periódicas de seguridad, el escaneo de vulnerabilidades y la capacitación de concientización de los empleados también son cruciales para identificar y mitigar los riesgos de manera efectiva.
La colaboración entre Google Cloud y Mandiant permitirá la entrega de inteligencia y experiencia a escala a través de la plataforma de software como servicio (SaaS) Mandiant Advantage, que complementará la cartera de seguridad existente de Google Cloud. Al combinar fuerzas, las dos organizaciones pretenden lograr un impacto significativo en la protección de la nube, promover la adopción de la computación en la nube y fomentar un entorno digital más seguro.
Security Copilot, que abordará tres cuestiones clave a las que se enfrentan los analistas de seguridad:
Complejidad del ataque
Los sistemas complejos pueden resultar perjudiciales durante un ataque. Al consolidar datos de diversas fuentes y transformarlos en conocimientos sencillos y prácticos, los analistas pueden responder a los incidentes en cuestión de minutos en lugar de soportar largos períodos bajo ataque.
Tácticas sutiles de evasión
Frente a las sutiles tácticas de evasión empleadas por los atacantes, Copilot analiza rápidamente las señales utilizando el aprendizaje automático. Identifica amenazas en una etapa temprana y obtiene orientación proactiva para contrarrestar eficazmente las acciones futuras de un atacante.
Brecha de talento
La escasez de talento plantea un desafío ya que la demanda de expertos en seguridad capacitados supera con creces la oferta. Copilot puede ayudar a los equipos a maximizar su efectividad y mejorar sus habilidades a través de instrucciones detalladas paso a paso para mitigar los riesgos.
Copilot se esfuerza por combinar el aprendizaje automático y la inteligencia humana en un sistema cohesivo que ayude a organizaciones de todos los tamaños a gestionar eficazmente las amenazas mediante un servicio de software. Microsoft utiliza IA para rastrear las actividades de los actores de amenazas y evaluar el riesgo de un ataque mediante el monitoreo y análisis de información de los sistemas de detección, información de los clientes y datos de respuesta. Luego, los analistas del Centro de investigación de seguridad de Microsoft (MSRC) pueden verificar y evaluar de manera eficiente el impacto de los envíos de investigaciones independientes en su portal de recompensas por errores utilizando herramientas de inteligencia artificial y aprendizaje automático, lo que reduce la carga de seguridad en las organizaciones individuales.
Con Security Copilot, Microsoft permite a los equipos de seguridad, cazadores de amenazas y analistas de malware de sus clientes colaborar en tiempo real, investigar amenazas y mejorar los tiempos de respuesta mediante la creación de guías y procedimientos basados en incidentes y respuestas anteriores.
IBM está aprovechando el poder de la tecnología Watson AI en su plataforma emblemática de gestión de eventos e incidentes de seguridad (SIEM) con una solución llamada QRadar Advisor.
Entonces, ¿cómo funciona? QRadar Advisor es un asistente de IA que ayuda a los centros de operaciones de seguridad (SOC) a mantenerse al día con una avalancha de información encadenando automáticamente diferentes incidentes de una manera que ayuda a los analistas a tener un ojo en el panorama general y no descartar por error un evento.
Un centro de operaciones de seguridad (SOC), también conocido como centro de operaciones de seguridad de la información (ISOC), es un equipo de profesionales de seguridad de TI que trabajan interna o externamente para monitorear toda la infraestructura de TI de una organización las 24 horas del día. Su principal objetivo es identificar incidentes de ciberseguridad en tiempo real y responder a ellos de forma rápida y eficaz.
Al automatizar prácticas clave en su SOC, QRadar puede ayudar a las organizaciones a abordar estos desafíos comunes:
Más amenazas y poco tiempo para detectarlas : la información valiosa a menudo pasa desapercibida porque los analistas luchan por conectar los puntos. Esto dificulta la obtención de conocimientos prácticos, lo que lleva a los analistas a centrarse únicamente en los casos en los que se sienten seguros. Desafortunadamente, este enfoque puede dar lugar a investigaciones perdidas y exponer a la organización a riesgos.
Sobrecarga de información : el gran volumen, la variedad y la velocidad de los conocimientos a analizar dificultan priorizar el trabajo e identificar la causa raíz de los problemas. Este desafío afecta a empresas de todos los tamaños. Los analistas luchan por reconstruir rápidamente el contexto local, lo que los deja abrumados por tareas repetitivas.
Tiempos de permanencia : el tiempo de permanencia, que se refiere a la duración entre que ocurre un incidente de seguridad y su detección y respuesta, es una métrica importante en la que confían los expertos en seguridad para evaluar su eficacia en la salvaguardia y defensa de los datos. Específicamente, dos medidas clave, a saber, MTTD (tiempo medio de detección) y MTTR (tiempo medio de respuesta) , se utilizan ampliamente para evaluar este éxito. A pesar de la disponibilidad de más soluciones y datos, el tiempo medio de permanencia hoy en día puede oscilar entre 50 y 200 días. La falta de investigaciones consistentes y de alta calidad con información contextual contribuye a una falla en los procesos existentes, lo que aumenta el riesgo para las organizaciones.
Escasez de talento en ciberseguridad y fatiga laboral : los analistas de seguridad a menudo se encuentran con exceso de trabajo, falta de personal y abrumados debido al creciente panorama de amenazas y las tareas operativas diarias. A medida que los datos continúan creciendo exponencialmente, la brecha de habilidades se amplía y el problema también aumentará.
La principal ventaja de automatizar partes de su SOC es que reúne y coordina las herramientas, prácticas y respuesta a incidentes de seguridad de una organización. Esta integración generalmente conduce a mejores medidas preventivas, políticas de seguridad mejoradas, una detección más rápida de amenazas y respuestas más rápidas, efectivas y rentables a los incidentes de seguridad. Además, un SOC puede aumentar la confianza del cliente y simplificar el cumplimiento de las regulaciones de privacidad industriales, nacionales y globales. La solución impulsa una respuesta consistente, priorizando las alertas más graves y asignando las acciones de un atacante al marco MITRE ATT&CK.
El marco MITRE ATT&CK, desarrollado por MITRE Corporation, es una base de conocimientos integral que cataloga tácticas, técnicas y procedimientos del mundo real utilizados por los atacantes en intrusiones cibernéticas. Ofrece un enfoque estructurado y estandarizado para analizar diferentes etapas de ataques y cubre varios vectores de amenazas como red, endpoint, nube y plataformas móviles. ATT&CK consiste en una matriz que organiza las tácticas y técnicas del atacante y proporciona información sobre los objetivos y métodos. Ampliamente utilizado por los profesionales de la ciberseguridad, mejora las capacidades de detección y respuesta a amenazas, ayudando a las organizaciones a comprender las tácticas de los adversarios, desarrollar defensas efectivas y mejorar la resiliencia cibernética general.
La implementación de la IA en la inteligencia sobre amenazas ha ganado un impulso significativo, como lo demuestran los estudios de casos de empresas destacadas como Google, Microsoft e IBM. Otros proveedores de seguridad notables como Cisco, CrowdStrike y Palo Alto también están aprovechando las tecnologías de inteligencia artificial y aprendizaje automático para mejorar la detección y detener los ataques contra sus clientes. Estas organizaciones aprovechan la IA para mejorar sus capacidades de inteligencia sobre amenazas, lo que les permite analizar grandes cantidades de señales de seguridad, detectar amenazas potenciales y responder con rapidez.
La colaboración entre Google y Mandiant reúne las capacidades de análisis de datos de Google con la experiencia de Mandiant, ofreciendo soluciones avanzadas de ciberdefensa y orientación de respuesta a incidentes. La herramienta basada en inteligencia artificial de Microsoft, Security Copilot, aborda las complejidades, las tácticas de evasión y la brecha de talento que enfrentan los analistas de seguridad, facilitando la gestión proactiva de amenazas. IBM utiliza la tecnología Watson AI en su solución QRadar Advisor, automatizando prácticas clave en los centros de operaciones de seguridad (SOC) para abordar desafíos como la sobrecarga de información, los tiempos de permanencia y la escasez de talento en ciberseguridad. La integración de estos enfoques impulsados por la IA con el marco MITRE ATT&CK mejora aún más la capacidad de las organizaciones para detectar, responder y defenderse de las ciberamenazas, promoviendo en última instancia un entorno digital más seguro.
A medida que avance en los ejercicios de este curso, considere estos estudios de casos y cómo las herramientas de IA podrían ayudar a abordar algunos de estos desafíos para su organización.
Inteligencia de amenazas de IA de Google Cloud
Copiloto de seguridad de Microsoft Seguridad de IBM
Palo Alto Networks: el valor de la IA/ML en entornos de seguridad: más allá de las exageraciones
