Data Lake de clientes centralizado Un enfoque contemporáneo popular es llevar la IA al interior, a un lugar centralizado para la organización individual a través de un “data lake”. Este enfoque compensa las limitaciones de la inteligencia global frente a amenazas al combinar modelos de IA similares con los que se utilizan en los laboratorios de investigación con datos específicos para la organización.
Como resultado:
1. La organización protegida identifica los IOCs específicos de las ciberamenazas a las que está expuesta
2. Esos IOCs, además de la información relacionada sobre la campaña de la amenaza y sus etapas, por lo general, están disponibles para el personal después de aplicar el análisis de IA
3. La organización conoce exactamente el tipo (modelo) y el alcance (clase de amenaza) de la IA aplicada
No obstante, también hay inconvenientes significativos para este enfoque específico de la organización, como:
1. Pérdida de visibilidad de la actividad global de la amenaza, la cual podría alcanzarlos en el futuro
2. Infraestructura cara, como almacenamiento, procesamiento, espacio y energía, requerida para tener un data lake central
3. Tiempo requerido para la recopilación de datos, la normalización y el análisis, lo que demora los resultados
Este último punto es una de las limitaciones más importantes, ya que significa que la IA solo se puede implementar con capacidad de detección. Para cuando se completa el análisis, el ataque ya ocurrió y se requiere corrección.
Específicamente, los data lake y el análisis de IA, resultados en forma de alertas, deben priorizarse, investigarse y confirmarse o invalidarse. El personal de seguridad de la organización identifica los IOCs y las otras inteligencias frente a amenazas, en lugar de los investigadores de amenazas globales y deben agregarse a los controles de seguridad de la organización, ya sea de forma manual o automatizada. Y, por supuesto, el personal debe limpiar los sistemas comprometidos
No hay duda de que la posesión de datos puede conferir una ventaja competitiva, pero debe ser información oportuna y relevante para los desafíos y las oportunidades del mercado actuales. Tener más datos por el simple hecho de tenerlos no genera resultados comerciales beneficiosos. Crea obligaciones
Una organización puede aplicar IA en diferentes lugares, ya sea en laboratorios de investigación globales o en la organización misma, y en diferentes etapas de la cadena de eliminación cibernética. El resultado de IA también se puede aplicar para la detección o prevención. Cada enfoque tiene sus ventajas, así como sus limitaciones, y las organizaciones deben superar el sensacionalismo y exageración para identificar la combinación de enfoques que sea óptima para su situación.
Esto debería incluir una combinación de cada tipo de IA. El proveedor de seguridad de una organización debe proporcionar una amplia cobertura de los tipos de inteligencia frente a amenazas y las clases de amenazas. Esto permite que los controles de seguridad que se implementan detecten y bloqueen las amenazas en las primeras etapas de la cadena de eliminación cibernética.
Esta inteligencia frente a amenazas debe complementarse con productos de seguridad, como AV de última generación, Web Application Firewall (WAF), gateways de correo electrónico seguro (SEG) y Sandbox con IA integrada. Esta IA integrada a menudo permite prevenir amenazas específicas de una organización o una respuesta a los brotes globales en las primeras etapas.
Cuando sea posible, una organización también debe utilizar sistemas avanzados de detección y respuesta, como la detección y respuesta en terminales (EDR), administración de eventos e información de seguridad (SIEM) y UEBA. Estos controles complementarios se dirigen a las primeras etapas de la cadena de eliminación, lo que permite la detección y respuesta integrales de ataques que evaden los controles preventivos. No obstante, es esencial que los equipos de seguridad cuenten con el personal y las habilidades adecuadas para responder de manera efectiva.
¿Necesita más información?Contáctamos
+(33) 35 87 59 13 y 14
contacto@sctelecom.com.mx
Sobre SCtelecom
SCtelecom es una empresa de tecnologías de información (TI) con más de 17 años de experiencia, abordando proyectos y soluciones específicas para cada uno de sus clientes.
#Fortinet
Comments