El primer centro de operaciones de ciberseguridad que apoyé a construir se soportaba en detectores de intrusos desplegados por la red de un conglomerado financiero. Era el año 2003 y el boom de internet había llevado a las empresas a invertir grandes presupuestos para obtener todos los beneficios de la exposición de las marcas y de ofrecer servicios en línea. Era el inicio de la banca en línea y los riesgos se incrementaban segundo a segundo debido a la capacidad de capturar valor por parte de los actores de amenaza.
Además de desplegar las herramientas tecnológicas, construimos pipelines para el equipo de monitorización. El objetivo era desarrollar habilidades de análisis de eventos, los cuales debían empezar a correlacionar con otras fuentes de información, como el Firewall, ya que el SIEM como herramienta de ciberseguridad era aún desconocido.
Aunque la ciberseguridad no cambia sus bases, la tecnología si acelera su transformación. Hemos visto cómo el Big Data nos dio herramientas para analizar más telemetría y de diferentes estructuras, o cómo la automatización nos llevó a tener más capacidad de reacción ante las amenazas. Sin embargo, seguimos teniendo retos que debemos enfrentar en los próximos años, integrando nuevas tecnologías y capacidades.
Nos encontramos en la era de la Inteligencia Artificial, una tecnología que está impactando las industrias, la geopolítica y nuestra vida diaria. La ciberseguridad no queda excluida de esta nueva era, ya que está siendo impactada de forma positiva, a la vez creando nuevos retos para nuestra función.
Hemos identificado dos casos de uso que proveen valor en la operación de ciberseguridad:
1. El asistente de IA: quien provee análisis, resúmenes y apoyo en los procesos de triage e investigación de los analistas. Fácilmente podemos crear un storytelling de que sucedió con los logs que estamos analizando, nos puede ayudar en la clasificación de una alarma en los marcos de trabajo como Mitre Att&ck o Kill Chain y hasta proveer alternativas de mitigación o resolución de los issues o incidentes gestionados.
2. La documentación: La inteligencia artificial se ha convertido en un aliado poderoso para automatizar los procesos de generación de reportes.
Estos casos de uso son lo que llamamos el SOC Aumentado, donde la inteligencia artificial apoya a los analistas a hacer sus tareas de una forma más efectiva y eficiente. Todos estamos enfocados en crear prompts y en fractalizar las acciones que apoya la inteligencia artificial para que dé el resultado deseado.
Pero, desde Grupo A3Sec nos hemos embarcado en una misión más retadora: la construcción de un SOC Autónomo. Ya hemos realizado varias sesiones y foros hablando de la imposibilidad de dejar al 100% las decisiones clave de la operación de ciberseguridad en las máquinas, y sigo creyendo que no va a pasar. No obstante, buscamos una capacidad automática donde el ser humano siga aportando en la retroalimentación de la toma de decisiones, donde apoyamos con la guía de las acciones y con la validación del valor creado en la función de la inteligencia artificial.
¿Qué necesitamos para lograr este gran objetivo?
Al final son 3 elementos clave:
1. Capa de gobierno y gestión: Interfaz que provee la trazabilidad, las decisiones tomadas, el resultado obtenido y el cumplimiento de los controles establecidos.
2. Capa cognitiva: Interfaz inteligente entre la Inteligencia artificial y humana que co-crea valor.
3. Capa automatización y orquestación: Es la integración de la arquitectura de prevención, detección y respuesta de la organización con la capa cognitiva y de gobierno y gestión.
La capa de gobierno y gestión establece las políticas y lineamientos de la operación. Es donde se deja registro y evidencia de la ejecución de cada decisión, de cada actividad y de la efectividad de control de todo el modelo de operación de nuestro SOC Autónomo. Los procesos de gestión de activos, gestión de configuración, gestión de incidentes, gestión de riesgo y servicio se encuentran hiperautomatizados en esta capa para lograr medir los outcomes del servicio y medir los Niveles de Servicio de Protección (PLA).
La capa cognitiva cubre las funciones de Asistente de IA para los operadores y analistas, la ejecución y control de la agencia de agentes para la ejecución de acciones con propósito, y las capacidades de aumentar y generar autonomía de cada una de las actividades de las operaciones de ciberseguridad sea en el frente proactivo o en el reactivo.
La capa de automatización y orquestación es la que apoya en la creación de la arquitectura de ciberseguridad tipo malla, donde todos los componentes se comunican entre sí, intercambiando inteligencia y reajustando su configuración para enfrentar amenazas emergentes y desconocidas.
Para lograr esa arquitectura de malla se dispone de servidores MCP, los cuales proveen a la capa cognitiva de herramientas que ayudan con conocimiento específico y con acciones claras como: construir una query para búsqueda de información, creación de reglas de bloqueo de una conexión de red específica, aislamiento de equipos, bloqueo o cambio de contraseñas de usuario, entre otros.
Imaginen que una alerta se genera en su EDR. El SIEM correlaciona dicha alerta con otras adicionales, las cuales incrementan el nivel de criticidad del evento. Si identificamos que el evento expone una credencial de un usuario, el Asistente entrega a los analistas toda la información con contexto y una explicación del impacto al negocio, proponiendo aislar el equipo afectado y bloquear el usuario. El analista aprueba la acción, escalando a través de un mensaje de Slack al responsable del cliente para una segunda autorización.
En el momento en que el cliente da su aprobación, los agentes contactan con el firewall, el Directorio Activo y el EDR para aislar el equipo afectado, bloquear cualquier intento de conexión de las direcciones IP que generaron el ataque y bloquear al usuario para que no pueda autenticarse en ningún recurso de la organización.
Así vemos el SOC autónomo: como un cambio en la forma en que interactuamos y tomamos decisiones en la operación de ciberseguridad.
