La inteligencia artificial y el aprendizaje automático (IA/ML) están dando forma a todos los aspectos de nuestras vidas más rápido de lo que podemos asimilar. La ciberseguridad no es una excepción; de hecho, es un brillante ejemplo de cómo la IA/ML puede aprovecharse tanto para el ataque como para la defensa, y convertirse en un objetivo atractivo.
Gracias a la reducción de las barreras de entrada para los posibles ciberdelincuentes, están aumentando los ciberataques basados en IA/ML, como el phishing, los deepfakes y las denegaciones de servicio distribuidas (DDoS). El malware polimórfico y las amenazas persistentes avanzadas (APT) utilizan la IA para generar nuevas variantes de malware exitoso y evadir reglas y firmas.
Por parte de los defensores, la necesidad de analizar y correlacionar rápidamente grandes cantidades de datos procedentes de docenas de fuentes representa un caso de uso primordial para la IA y el ML. Estas capacidades sobrehumanas están acelerando casi todos los aspectos de la ciberdefensa, como el inventario y la inteligencia de activos, la línea de base del comportamiento, la detección de anomalías y amenazas, la correlación de eventos, la priorización de riesgos y la reducción del ruido. Juntas tienen el potencial de eliminar por completo la necesidad de analistas SOC de nivel 1 y otros puestos junior.
La ciberseguridad asistida por IA para entornos industriales aprovecha todas estas capacidades, posiblemente en mayor medida: hay más que proteger y lo que está en juego en un ataque suele ser mayor. Se trata de sistemas de control y procesos físicos con miles de variables de proceso configurables, todas ellas potencialmente explotables. Y hay componentes heredados que son inseguros por diseño, con oportunidades limitadas para aplicar parches. Sin IA, sería imposible evaluar el volumen de comunicación de red y los datos de variables de proceso en una red industrial típica, y desde luego no lo suficientemente rápido como para evitar daños si se detectara una amenaza grave.
He aquí cómo se aprovechan la IA y el ML en la plataforma Nozomi Networks para proteger entornos industriales e infraestructuras críticas.
Los entornos industriales suelen tener enormes volúmenes de comunicación de red y datos variables de procesos que comprenden su superficie de ataque. Aunque eficaz, la detección basada en firmas sólo funciona para identificar amenazas conocidas (como los CVE documentados), y sólo si los indicadores son fácilmente observables y rápidamente identificables como una posible coincidencia. La única forma de detectar amenazas desconocidas, incluidos los días cero así como las anomalías operativas que puedan suponer un riesgo, es analizar rápidamente los datos recogidos de los sensores en todo el entorno para discernir las desviaciones de la línea de base.
Cuando se instalan por primera vez en su entorno, los sensores de red Nozomi funcionan en modo de aprendizaje para descubrir automáticamente su red industrial en tiempo real, incluidos sus componentes, conexiones y topología. Al supervisar las comunicaciones de los dispositivos hasta las variables a nivel de proceso, la plataforma crea una representación interna precisa de cada proceso físico de la red, identificando cada fase y la correlación entre los dispositivos de la red, las variables del proceso y las fases. A partir de estas representaciones, crea perfiles detallados del comportamiento esperado de cada dispositivo en cada fase del proceso.
Hasta ahora, este proceso de aprendizaje es un puro baseline de comportamiento basado en observaciones. La plataformaNetworks Nozomi Networks también emplea el aprendizaje adaptativo, que añade asset intelligence que describe el comportamiento de activos conocidos (véase más adelante), para enriquecer los perfiles y reducir los falsos positivos. Esta combinación de detección basada en el comportamiento e informada por el comportamiento conocido de los activos es esencial para detectar exploits de día cero en particular.
La plataforma también utiliza el Aprendizaje Dinámico para realizar un análisis estadístico de control de procesos de la red y descartar comportamientos superiores a una desviación estándar, que no deben considerarse normales. Los parámetros de aprendizaje pueden configurarse manualmente para generar solo las alertas que realmente necesita ver para salvaguardar su entorno y evitar sobrecargas.
Una vez establecidas las líneas de base, la plataforma pasa al modo activo, utilizando la heurística y el análisis del comportamiento para supervisar constantemente el entorno. El resultado es una rápida detección de anomalías, incluidos ciberataques, ciberincidentes e irregularidades en las variables críticas del proceso. Esta información puede utilizarse para prevenir, contener o mitigar las ciberamenazas y los incidentes de proceso antes de que se produzcan daños significativos.
Las alertas señalan a los analistas y operadores los sucesos y actividades sospechosos que se desvían de las líneas de base establecidas, al tiempo que filtran la actividad anómala benigna por debajo de los umbrales establecidos. Por ejemplo, si un dispositivo de un proceso industrial empieza a perder 10 paquetes a lo largo del tiempo, no pasa nada, pero si el mismo proceso empieza a perder cientos de paquetes, hay que investigarlo.
Las redes industriales y de infraestructuras críticas suelen contener miles de dispositivos OT de cientos de proveedores, así como dispositivos IoT , que supervisan y controlan los procesos. Crear un inventario preciso y actualizado de los activos OT e IoT y realizar un seguimiento de los mismos, junto con información contextual importante, es fundamental para mantener la resiliencia cibernética y operativa, gestionar las vulnerabilidades y priorizar la mitigación. No se puede hacer manualmente. Necesita una solución de gestión de activos automatizada.
La plataforma Nozomi Networks utiliza una variedad de sensores de red, de endpoint, remotos e inalámbricos para descubrir automáticamente los activos a medida que se conectan a la red, recopilando y validando atributos de contexto detallados. A continuación, los supervisa continuamente en busca de cambios sospechosos que puedan indicar un ciberincidente o una anomalía en el proceso. Los perfiles de dispositivos OT e IoT derivados de sensores se enriquecen aún más con información detallada adicional sobre los activos procedente de nuestro sistema de Asset Intelligence para ofrecer un inventario de activos casi 100% preciso y siempre actualizado.
La base de datos Nozomi Asset Intelligence aprovecha los datos recopilados de millones de dispositivos OT, IoT e IT para determinar cuándo generar alertas sobre comportamientos anómalos, reduciendo la cantidad de alertas causadas por comportamientos anómalos benignos al saber cuándo "nuevo" o "diferente" no es un riesgo. Utiliza atributos y comportamientos que son visibles en su red, como direcciones MAC y protocolos utilizados por sus activos, y los compara con comportamientos de dispositivos y rendimiento de dispositivos conocidos en la base de datos. Cuando se encuentra una coincidencia, los atributos y comportamientos del dispositivo conocido se añaden a su perfil de dispositivo. El resultado es una clasificación de activos hasta un 50-70% más precisa, lo que ayuda a simplificar la gestión de vulnerabilidades y a reducir las alertas de falsos positivos en su entorno.
La tasa de agotamiento de los miembros de los equipos de los centros de operaciones de seguridad (SOC) es notoriamente alta, debido a la pesada carga de trabajo, la escasez de personal, la automatización limitada y la fatiga por las alertas. La grave escasez de profesionales cualificados en ciberseguridad, especialmente en especialidades como la seguridad OT , sería terrible si la IA y el ML no estuvieran hechos a medida para ayudar a los equipos de seguridad a hacer más con menos. Automatizan las tediosas tareas de revisar, correlacionar y priorizar datos de redes, activos y alertas para proporcionar información significativa sobre amenazas reales y cómo abordarlas. Las actividades que antes llevaban una semana a un equipo de personas ahora pueden ser realizadas por una sola persona al día, si no se delegan por completo en la IA/ML.
Vantage IQ en el motor AI/ML cloud de Nozomi Networks. Sus redes neuronales profundas identifican patrones de actividad en los datos de red y presentan información priorizada basada en alertas correlacionadas al instante, con información sobre la causa raíz para agilizar la investigación y aplicar soluciones eficaces.
El motor de Vantage IQ analiza continuamente su entorno, correlacionando riesgos y condiciones para sacar a la luz cosas que probablemente debería investigar pero para las que quizá no tenga tiempo. Presenta estos datos en una lista que se actualiza constantemente, priorizados por importancia, sin que nadie tenga que escribir una consulta. Cuando estas perspectivas se abordan con regularidad, el resultado es menos ruido en su entorno procedente de los cambios de configuración y otros elementos que son fáciles de pasar por alto, pero también fáciles de solucionar.
La inteligencia artificial y el aprendizaje automático (IA/ML) están dando forma a todos los aspectos de nuestras vidas más rápido de lo que podemos asimilar. La ciberseguridad no es una excepción; de hecho, es un brillante ejemplo de cómo la IA/ML puede aprovecharse tanto para el ataque como para la defensa, y convertirse en un objetivo atractivo.
Gracias a la reducción de las barreras de entrada para los posibles ciberdelincuentes, están aumentando los ciberataques basados en IA/ML, como el phishing, los deepfakes y las denegaciones de servicio distribuidas (DDoS). El malware polimórfico y las amenazas persistentes avanzadas (APT) utilizan la IA para generar nuevas variantes de malware exitoso y evadir reglas y firmas.
Por parte de los defensores, la necesidad de analizar y correlacionar rápidamente grandes cantidades de datos procedentes de docenas de fuentes representa un caso de uso primordial para la IA y el ML. Estas capacidades sobrehumanas están acelerando casi todos los aspectos de la ciberdefensa, como el inventario y la inteligencia de activos, la línea de base del comportamiento, la detección de anomalías y amenazas, la correlación de eventos, la priorización de riesgos y la reducción del ruido. Juntas tienen el potencial de eliminar por completo la necesidad de analistas SOC de nivel 1 y otros puestos junior.
La ciberseguridad asistida por IA para entornos industriales aprovecha todas estas capacidades, posiblemente en mayor medida: hay más que proteger y lo que está en juego en un ataque suele ser mayor. Se trata de sistemas de control y procesos físicos con miles de variables de proceso configurables, todas ellas potencialmente explotables. Y hay componentes heredados que son inseguros por diseño, con oportunidades limitadas para aplicar parches. Sin IA, sería imposible evaluar el volumen de comunicación de red y los datos de variables de proceso en una red industrial típica, y desde luego no lo suficientemente rápido como para evitar daños si se detectara una amenaza grave.
He aquí cómo se aprovechan la IA y el ML en la plataforma Nozomi Networks para proteger entornos industriales e infraestructuras críticas.
Los entornos industriales suelen tener enormes volúmenes de comunicación de red y datos variables de procesos que comprenden su superficie de ataque. Aunque eficaz, la detección basada en firmas sólo funciona para identificar amenazas conocidas (como los CVE documentados), y sólo si los indicadores son fácilmente observables y rápidamente identificables como una posible coincidencia. La única forma de detectar amenazas desconocidas, incluidos los días cero así como las anomalías operativas que puedan suponer un riesgo, es analizar rápidamente los datos recogidos de los sensores en todo el entorno para discernir las desviaciones de la línea de base.
Cuando se instalan por primera vez en su entorno, los sensores de red Nozomi funcionan en modo de aprendizaje para descubrir automáticamente su red industrial en tiempo real, incluidos sus componentes, conexiones y topología. Al supervisar las comunicaciones de los dispositivos hasta las variables a nivel de proceso, la plataforma crea una representación interna precisa de cada proceso físico de la red, identificando cada fase y la correlación entre los dispositivos de la red, las variables del proceso y las fases. A partir de estas representaciones, crea perfiles detallados del comportamiento esperado de cada dispositivo en cada fase del proceso.
Hasta ahora, este proceso de aprendizaje es un puro baseline de comportamiento basado en observaciones. La plataformaNetworks Nozomi Networks también emplea el aprendizaje adaptativo, que añade asset intelligence que describe el comportamiento de activos conocidos (véase más adelante), para enriquecer los perfiles y reducir los falsos positivos. Esta combinación de detección basada en el comportamiento e informada por el comportamiento conocido de los activos es esencial para detectar exploits de día cero en particular.
La plataforma también utiliza el Aprendizaje Dinámico para realizar un análisis estadístico de control de procesos de la red y descartar comportamientos superiores a una desviación estándar, que no deben considerarse normales. Los parámetros de aprendizaje pueden configurarse manualmente para generar solo las alertas que realmente necesita ver para salvaguardar su entorno y evitar sobrecargas.
Una vez establecidas las líneas de base, la plataforma pasa al modo activo, utilizando la heurística y el análisis del comportamiento para supervisar constantemente el entorno. El resultado es una rápida detección de anomalías, incluidos ciberataques, ciberincidentes e irregularidades en las variables críticas del proceso. Esta información puede utilizarse para prevenir, contener o mitigar las ciberamenazas y los incidentes de proceso antes de que se produzcan daños significativos.
Las alertas señalan a los analistas y operadores los sucesos y actividades sospechosos que se desvían de las líneas de base establecidas, al tiempo que filtran la actividad anómala benigna por debajo de los umbrales establecidos. Por ejemplo, si un dispositivo de un proceso industrial empieza a perder 10 paquetes a lo largo del tiempo, no pasa nada, pero si el mismo proceso empieza a perder cientos de paquetes, hay que investigarlo.
Las redes industriales y de infraestructuras críticas suelen contener miles de dispositivos OT de cientos de proveedores, así como dispositivos IoT , que supervisan y controlan los procesos. Crear un inventario preciso y actualizado de los activos OT e IoT y realizar un seguimiento de los mismos, junto con información contextual importante, es fundamental para mantener la resiliencia cibernética y operativa, gestionar las vulnerabilidades y priorizar la mitigación. No se puede hacer manualmente. Necesita una solución de gestión de activos automatizada.
La plataforma Nozomi Networks utiliza una variedad de sensores de red, de endpoint, remotos e inalámbricos para descubrir automáticamente los activos a medida que se conectan a la red, recopilando y validando atributos de contexto detallados. A continuación, los supervisa continuamente en busca de cambios sospechosos que puedan indicar un ciberincidente o una anomalía en el proceso. Los perfiles de dispositivos OT e IoT derivados de sensores se enriquecen aún más con información detallada adicional sobre los activos procedente de nuestro sistema de Asset Intelligence para ofrecer un inventario de activos casi 100% preciso y siempre actualizado.
La base de datos Nozomi Asset Intelligence aprovecha los datos recopilados de millones de dispositivos OT, IoT e IT para determinar cuándo generar alertas sobre comportamientos anómalos, reduciendo la cantidad de alertas causadas por comportamientos anómalos benignos al saber cuándo "nuevo" o "diferente" no es un riesgo. Utiliza atributos y comportamientos que son visibles en su red, como direcciones MAC y protocolos utilizados por sus activos, y los compara con comportamientos de dispositivos y rendimiento de dispositivos conocidos en la base de datos. Cuando se encuentra una coincidencia, los atributos y comportamientos del dispositivo conocido se añaden a su perfil de dispositivo. El resultado es una clasificación de activos hasta un 50-70% más precisa, lo que ayuda a simplificar la gestión de vulnerabilidades y a reducir las alertas de falsos positivos en su entorno.
La tasa de agotamiento de los miembros de los equipos de los centros de operaciones de seguridad (SOC) es notoriamente alta, debido a la pesada carga de trabajo, la escasez de personal, la automatización limitada y la fatiga por las alertas. La grave escasez de profesionales cualificados en ciberseguridad, especialmente en especialidades como la seguridad OT , sería terrible si la IA y el ML no estuvieran hechos a medida para ayudar a los equipos de seguridad a hacer más con menos. Automatizan las tediosas tareas de revisar, correlacionar y priorizar datos de redes, activos y alertas para proporcionar información significativa sobre amenazas reales y cómo abordarlas. Las actividades que antes llevaban una semana a un equipo de personas ahora pueden ser realizadas por una sola persona al día, si no se delegan por completo en la IA/ML.
Vantage IQ en el motor AI/ML cloud de Nozomi Networks. Sus redes neuronales profundas identifican patrones de actividad en los datos de red y presentan información priorizada basada en alertas correlacionadas al instante, con información sobre la causa raíz para agilizar la investigación y aplicar soluciones eficaces.
El motor de Vantage IQ analiza continuamente su entorno, correlacionando riesgos y condiciones para sacar a la luz cosas que probablemente debería investigar pero para las que quizá no tenga tiempo. Presenta estos datos en una lista que se actualiza constantemente, priorizados por importancia, sin que nadie tenga que escribir una consulta. Cuando estas perspectivas se abordan con regularidad, el resultado es menos ruido en su entorno procedente de los cambios de configuración y otros elementos que son fáciles de pasar por alto, pero también fáciles de solucionar.