Nota para nuestros clientes y socios en Oriente Medio
Más información
Los actores maliciosos están utilizando la inteligencia artificial (IA) y el aprendizaje automático (ML) para lanzar ataques sofisticados más rápido que nunca. El reto consiste en utilizar las técnicas adecuadas de IA/ML de la forma correcta para, como mínimo, mantener el ritmo.
Nuestros equipos de I+D y laboratorios han estado desarrollando y entrenando nuestro motor de IA internamente desde el primer día, y lo hemos ido perfeccionando desde entonces basándonos en los conocimientos adquiridos en miles de IoT OT IoT del mundo real.
Sabemos cómo recopilar los datos adecuados, proporcionar el contexto adecuado y utilizar las técnicas de IA adecuadas para que las organizaciones industriales y de infraestructuras críticas puedan defenderse en el mundo actual.
Utilizamos una variedad de modelos de inteligencia artificial (IA) y aprendizaje automático (ML) en toda nuestra plataforma, eligiendo la herramienta adecuada (ML, análisis predictivo, análisis de comportamiento, Networks bayesianas, LLM) para la tarea en cuestión, de modo que usted obtenga información útil sobre su entorno que le explique qué hacer ahora para aumentar la resiliencia operativa y cibernética.
Un inventario completo y preciso de todos los activos de su entorno es la información que permite a nuestro motor de IA generar los resultados adecuados.
Utilizamos una variedad de sensores de red, endpoint inalámbricos; técnicas de detección activas y pasivas; e inspección profunda de paquetes (DPI) con un amplio dominio de los protocolos para analizar el tráfico de red y comprender el comportamiento.
Nuestro motor de IA aprende continuamente de millones de activos supervisados para poder completar la información sobre dispositivos idénticos en distintos entornos, lo que le proporciona la amplitud y profundidad de datos necesarias para detectar amenazas y anomalías y gestionar los riesgos.
Los analistas SOC se ven abrumados por un exceso de alertas: alertas sin correlación ni prioridad, falsos positivos, alertas que no comprenden y alertas sin información suficiente para actuar. La IA analiza, prioriza y silencia las alertas para que el personal pueda centrarse en lo que realmente importa.
Un inventario manual de activos siempre es incompleto, incorrecto y obsoleto. Excepto por los detalles más obvios sobre los activos que conoce, no hay forma de recopilar todos los datos y el contexto necesarios para establecer bases de referencia de comportamiento e informar sobre la detección de anomalías y amenazas.
Los CISO son cada vez más responsables delIoT como un porcentaje creciente del riesgo empresarial, lo que ha puesto de manifiesto la escasez perpetua de talentoIoT . La IA aumenta la brecha de habilidades y reduce el número de horas necesarias para realizar tareas tediosas.
Para identificar correctamente los activos, clasificarlos, completar la información que falta y enriquecer lo que sabemos sobre ellos, utilizamos el aprendizaje automático para comparar las características observadas con una base de datos de perfiles de dispositivos continuamente actualizada y mantenida por Nozomi Networks . Si los datos disponibles son limitados, nuestros modelos de inferencia de comportamiento pueden inferir los tipos y funciones de los activos basándose en los patrones de tráfico y el uso de protocolos.
También aprovechamos Networks bayesianas, un modelo probabilístico utilizado para razonar en condiciones de incertidumbre, con el fin de predecir qué información sobre activos debe incluirse en los campos de datos que faltan hasta que se pueda recopilar o completar de otro modo. Se trata de una forma muy eficaz de evitar la clasificación errónea de datos clave utilizados para detectar amenazas y anomalías y gestionar el riesgo.
En conjunto, la amplia gama de sensores, métodos de recopilación de datos y técnicas de enriquecimiento de IA aumentan continuamente la precisión general de su inventario.
Una gestión eficaz de las vulnerabilidades implica contextualizarlas, priorizarlas y correlacionarlas con los riesgos reales de su entorno. Nuestra plataforma utiliza huellas digitales de activos entrenadas con IA para identificar la marca, el modelo, la versión de firmware, el sistema operativo y otras características de los dispositivos. Este perfil enriquecido se utiliza para comparar el dispositivo con CVE conocidas con mucha mayor precisión que los escáneres tradicionales.
A continuación, utilizamos la inferencia bayesiana y modelos probabilísticos ponderados para calcular una puntuación de riesgo dinámica y multifactorial que incluye el riesgo de vulnerabilidad, incluido el estado de los parches.
Mientras supervisa continuamente su entorno, la plataforma utiliza la correlación temporal, el modelado del comportamiento y la comparación de patrones de amenazas para identificar comportamientos sospechosos cerca de un activo vulnerable, sondeos entrantes de agentes maliciosos o patrones de movimiento lateral. Cualquiera de estos eventos desencadena un aumento de la puntuación de riesgo y alertas, lo que ayuda a los equipos a priorizar las vulnerabilidades que están siendo objeto de ataques activos.
Las anomalías operativas no pueden detectarse utilizando reglas simples. Es esencial combinar el aprendizaje automático, el análisis predictivo y el análisis del comportamiento para establecer una base de referencia del comportamiento de los activos y detectar anomalías.
Tras su implementación, laNetworks Nozomi Networks comienza a supervisar las comunicaciones de los dispositivos en «modo de aprendizaje», hasta llegar a las variables a nivel de proceso. Utiliza el aprendizaje automático y el análisis predictivo para crear perfiles detallados del comportamiento esperado de cada dispositivo en cada etapa de un proceso, con el fin de establecer una referencia del comportamiento «normal».
Cuando se cambia al modo «protección», la plataforma utiliza análisis de comportamiento para supervisar el entorno, comparar el comportamiento actual con los valores de referencia y alertar sobre eventos sospechosos que se desvían de ellos, evaluando su gravedad y clasificándolos como una anomalía de proceso o de ciberseguridad. Incluso en modo protección, el sistema actualiza dinámicamente los valores de referencia si cambian las condiciones normales.
Para reducir los falsos positivos, utilizamos modelos de comportamiento, reconocimiento de patrones y otras técnicas para filtrar cambios benignos, como las actualizaciones legítimas de firmware.
La detección basada en reglas, incluida la basada en firmas, es eficaz para detectar amenazas conocidas, cuyos indicadores son fácilmente observables e identificables. Las amenazas desconocidas, incluidas las de día cero, requieren las mismas técnicas de detección basadas en el comportamiento que las anomalías. Los modelos de redes neuronales, Networks bayesianas Networks otras técnicas de inteligencia artificial también son esenciales para gestionar las alertas relacionadas con amenazas y priorizar las medidas de mitigación.
Los modelos de redes neuronales correlacionan eventos multivariables en todo su entorno para reducir el tiempo de investigación y detectar amenazas complejas, como las amenazas persistentes avanzadas. Nuestro motor de consultas analiza estas alertas correlacionadas junto con los atributos de los activos y las relaciones de red para sugerir las medidas adecuadas que se deben tomar.
El análisis de las causas fundamentales es esencial para la investigación de amenazas. Nuestra plataforma utiliza redes neuronales, agrupaciones y análisis de series temporales para correlacionar el comportamiento entre activos, tráfico y tiempo. Aísla rápidamente el origen de las anomalías o alertas mediante la identificación de cadenas causales, lo que reduce el tiempo de investigación y permite una respuesta más rápida y específica.
Networks puntuaciones de riesgo dinámicas para cada uno de sus activos con el fin de ayudarle a priorizar las medidas de seguridad, abordar primero los riesgos más críticos y mitigarlos de forma eficaz. Calcula el riesgo de los activos basándose en cinco factores con ponderaciones personalizables: riesgo de vulnerabilidad, riesgo de alerta, riesgo de comunicación, riesgo de dispositivo, criticidad de los activos y controles compensatorios implantados.
Utilizamos una combinación de aprendizaje automático, análisis predictivo y análisis de comportamiento para calcular las puntuaciones de riesgo a nivel de activos, instalaciones y empresa. Estas mismas herramientas se utilizan para recomendar medidas que se deben tomar, clasificadas según la reducción que supondrán en su puntuación de riesgo global.
Los cálculos se actualizan a medida que cambia el entorno de amenazas, se informan nuevas vulnerabilidades, detectamos comportamientos anómalos en su red y usted añade controles, para que pueda evaluar su impacto.
También utilizamos agrupaciones, modelos estadísticos, aprendizaje supervisado y análisis contextuales para mostrar comparativas con otras empresas similares, de modo que pueda ver cómo se compara su postura de seguridad con la de otras empresas de su región o sector.
Por último, utilizamos análisis predictivos basados en datos históricos sobre vulnerabilidades, amenazas y comportamiento de los activos para ayudar a identificar qué vulnerabilidades son susceptibles de ser explotadas, qué tipos de activos o sitios son más riesgosos y qué cadenas de ataque están surgiendo.
El valor primordial de una plataforma de ciberseguridad es su facilidad de uso. Puede recopilar todos los datos adecuados y utilizar todas las técnicas de IA y ML adecuadas para extraer todas las conclusiones adecuadas, pero ¿qué valor tiene eso si los usuarios autorizados, incluidos los interesados que no son expertos, no pueden acceder fácilmente a esa información?
Nozomi Networks IA generativa (como ChatGPT y Gemini) en una parte de la plataforma, Vantage IQ, para resumir amenazas, acelerar investigaciones y recomendar acciones a analistas desbordados en SOC con recursos limitados. Cuenta con su propio lenguaje de consulta, pero gracias a una interfaz de lenguaje natural, cualquier usuario autorizado, desde un analista de SOC hasta un ingeniero operativo, puede preguntarle cualquier cosa que desee saber sobre el entorno y obtener una respuesta precisa y útil, al instante, con acceso detallado a información más profunda.
Para un analista SOC junior, es como tener a tu lado a un experto con mucha experiencia, que siempre está disponible. Para un operador, significa obtener respuestas inmediatas sobre cualquier aspecto del entorno para que siga funcionando de forma más segura y eficiente.
La IA generativa se basa en grandes modelos de lenguaje (LLM) para generar respuestas. A diferencia de un LLM diseñado para uso público, nuestro LLM se entrena con telemetría de incidentes del mundo real en miles de implementaciones industriales y se ajusta con datos de perfiles de activos, así como con threat intelligence pública y Nozomi.
.png)
