Nota para nuestros clientes y socios en Oriente Medio
Más información
La inteligencia artificial y el aprendizaje automático (IA/ML) están dando forma a todos los aspectos de nuestras vidas más rápido de lo que podemos asimilar. La ciberseguridad no es una excepción; de hecho, es un brillante ejemplo de cómo la IA/ML puede aprovecharse tanto para el ataque como para la defensa, y convertirse en un objetivo atractivo.
Gracias a la reducción de las barreras de entrada para los posibles ciberdelincuentes, están aumentando los ciberataques basados en IA/ML, como el phishing, los deepfakes y las denegaciones de servicio distribuidas (DDoS). El malware polimórfico y las amenazas persistentes avanzadas (APT) utilizan la IA para generar nuevas variantes de malware exitoso y evadir reglas y firmas.
Por parte de los defensores, la necesidad de analizar y correlacionar rápidamente grandes cantidades de datos procedentes de docenas de fuentes representa un caso de uso primordial para la IA y el ML. Estas capacidades sobrehumanas están acelerando casi todos los aspectos de la ciberdefensa, como el inventario y la inteligencia de activos, la línea de base del comportamiento, la detección de anomalías y amenazas, la correlación de eventos, la priorización de riesgos y la reducción del ruido. Juntas tienen el potencial de eliminar por completo la necesidad de analistas SOC de nivel 1 y otros puestos junior.
La ciberseguridad asistida por IA para entornos industriales aprovecha todas estas capacidades, posiblemente en mayor medida: hay más que proteger y lo que está en juego en un ataque suele ser mayor. Se trata de sistemas de control y procesos físicos con miles de variables de proceso configurables, todas ellas potencialmente explotables. Y hay componentes heredados que son inseguros por diseño, con oportunidades limitadas para aplicar parches. Sin IA, sería imposible evaluar el volumen de comunicación de red y los datos de variables de proceso en una red industrial típica, y desde luego no lo suficientemente rápido como para evitar daños si se detectara una amenaza grave.
A continuación se explica cómo se están aprovechando la IA y el aprendizaje automático en la Networks Nozomi Networks para proteger entornos industriales e infraestructuras críticas.
Los entornos industriales suelen tener enormes volúmenes de comunicación de red y datos variables de procesos que comprenden su superficie de ataque. Aunque eficaz, la detección basada en firmas sólo funciona para identificar amenazas conocidas (como los CVE documentados), y sólo si los indicadores son fácilmente observables y rápidamente identificables como una posible coincidencia. La única forma de detectar amenazas desconocidas, incluidos los días cero así como las anomalías operativas que puedan suponer un riesgo, es analizar rápidamente los datos recogidos de los sensores en todo el entorno para discernir las desviaciones de la línea de base.
Cuando se instalan por primera vez en su entorno, los sensores de red Nozomi funcionan en modo de aprendizaje para descubrir automáticamente su red industrial en tiempo real, incluidos sus componentes, conexiones y topología. Al supervisar las comunicaciones de los dispositivos hasta las variables a nivel de proceso, la plataforma crea una representación interna precisa de cada proceso físico de la red, identificando cada fase y la correlación entre los dispositivos de la red, las variables del proceso y las fases. A partir de estas representaciones, crea perfiles detallados del comportamiento esperado de cada dispositivo en cada fase del proceso.
Hasta ahora, este proceso de aprendizaje consiste exclusivamente en el establecimiento de una línea de referencia del comportamiento basada en observaciones. LaNetworks Nozomi Networks también utiliza el aprendizaje adaptativo, que incorpora asset intelligence su comportamiento conocido (véase más abajo)— para enriquecer los perfiles y reducir los falsos positivos. Esta combinación de detección basada en el comportamiento, complementada con el comportamiento conocido de los activos, resulta esencial para detectar, en particular, los ataques de día cero.
La plataforma también utiliza el aprendizaje dinámico para realizar un análisis de control estadístico de procesos de la red y descartar comportamientos que se desvíen en más de una desviación estándar, lo cual no debe considerarse normal. Los parámetros de aprendizaje se pueden configurar manualmente para generar únicamente las alertas que realmente necesitas ver, con el fin de proteger tu entorno y evitar una sobrecarga.
Una vez establecidas las líneas de base, la plataforma pasa al modo activo, utilizando la heurística y el análisis del comportamiento para supervisar constantemente el entorno. El resultado es una rápida detección de anomalías, incluidos ciberataques, ciberincidentes e irregularidades en las variables críticas del proceso. Esta información puede utilizarse para prevenir, contener o mitigar las ciberamenazas y los incidentes de proceso antes de que se produzcan daños significativos.
Las alertas señalan a los analistas y operadores los sucesos y actividades sospechosos que se desvían de las líneas de base establecidas, al tiempo que filtran la actividad anómala benigna por debajo de los umbrales establecidos. Por ejemplo, si un dispositivo de un proceso industrial empieza a perder 10 paquetes a lo largo del tiempo, no pasa nada, pero si el mismo proceso empieza a perder cientos de paquetes, hay que investigarlo.
Las redes de infraestructuras industriales y críticas suelen contener miles de OT de cientos de proveedores, así como IoT , que supervisan y controlan los procesos. Crear un inventario preciso y actualizado de IoT OT IoT y realizar un seguimiento de los mismos, junto con información contextual relevante, es fundamental para mantener la resiliencia cibernética y operativa, gestionar las vulnerabilidades y priorizar las medidas de mitigación. Esto no se puede hacer manualmente. Se necesita una solución automatizada de inventario de activos.
La plataforma Nozomi Networks utiliza una variedad de sensores de red, de endpoint, remotos e inalámbricos para descubrir automáticamente los activos a medida que se conectan a la red, recopilando y validando atributos de contexto detallados. A continuación, los supervisa continuamente en busca de cambios sospechosos que puedan indicar un ciberincidente o una anomalía en el proceso. Los perfiles de dispositivos OT e IoT derivados de sensores se enriquecen aún más con información detallada adicional sobre los activos procedente de nuestro sistema de Asset Intelligence para ofrecer un inventario de activos casi 100% preciso y siempre actualizado.
La base de datos Nozomi Asset Intelligence aprovecha los datos recopilados de millones de dispositivos OT, IoT e IT para determinar cuándo generar alertas sobre comportamientos anómalos, reduciendo la cantidad de alertas causadas por comportamientos anómalos benignos al saber cuándo "nuevo" o "diferente" no es un riesgo. Utiliza atributos y comportamientos que son visibles en su red, como direcciones MAC y protocolos utilizados por sus activos, y los compara con comportamientos de dispositivos y rendimiento de dispositivos conocidos en la base de datos. Cuando se encuentra una coincidencia, los atributos y comportamientos del dispositivo conocido se añaden a su perfil de dispositivo. El resultado es una clasificación de activos hasta un 50-70% más precisa, lo que ayuda a simplificar la gestión de vulnerabilidades y a reducir las alertas de falsos positivos en su entorno.
La tasa de agotamiento de los miembros de los equipos de los centros de operaciones de seguridad (SOC) es notoriamente alta, debido a la pesada carga de trabajo, la escasez de personal, la automatización limitada y la fatiga por las alertas. La grave escasez de profesionales cualificados en ciberseguridad, especialmente en especialidades como la seguridad OT , sería terrible si la IA y el ML no estuvieran hechos a medida para ayudar a los equipos de seguridad a hacer más con menos. Automatizan las tediosas tareas de revisar, correlacionar y priorizar datos de redes, activos y alertas para proporcionar información significativa sobre amenazas reales y cómo abordarlas. Las actividades que antes llevaban una semana a un equipo de personas ahora pueden ser realizadas por una sola persona al día, si no se delegan por completo en la IA/ML.
Vantage IQ en el motor de IA/ML cloudNetworks Nozomi Networks. Sus redes neuronales profundas identifican patrones de actividad en los datos de red y presentan información priorizada basada en alertas correlacionadas al instante, respaldadas por información sobre la causa raíz para agilizar la investigación y facilitar la resolución eficaz de incidencias.
IQ Vantage IQ analiza continuamente su entorno, correlacionando riesgos y condiciones para detectar aspectos que probablemente debería investigar, pero para los que quizá no tenga tiempo. Presenta esta información en una lista que se actualiza constantemente, ordenada por importancia, sin que nadie tenga que escribir una consulta. Cuando se abordan estos aspectos con regularidad, el resultado es una reducción del ruido en su entorno procedente de cambios de configuración y otros elementos que son fáciles de pasar por alto, pero también fáciles de solucionar. Especialmente para los analistas noveles, es como tener a su lado a un expertoIoT que le ofrece un contexto claro y orientación siempre que lo necesite. Especialmente para los analistas noveles, es como tener a su lado a un expertoIoT que le ofrece un contexto claro y orientación siempre que lo necesite.
