La evolución y el futuro de SIEM: integración de análisis avanzados e inteligencia artificial para mejorar la ciberseguridad

Los investigadores de amenazas diseñaron las primeras versiones de SIEM hace más de 20 años para recopilar información de varias herramientas de TI a fin de dar sentido a las numerosas amenazas. En ese momento, los recursos de TI recopilaban datos y generaban registros. Aun así, estaban desconectados, por lo que un profesional de seguridad tardó un tiempo en combinar la información para obtener una imagen completa. Ninguna herramienta por sí sola puede recopilar datos de firewalls, software de detección de intrusos, conmutadores, registros de red, dispositivos y enrutadores.

A principios de la década de 1990, aparecieron los primeros sistemas de detección de intrusiones (IDSE), pero no estuvieron exentos de limitaciones. Estos programas utilizaban un conjunto de reglas para evaluar el tráfico de red y detectar amenazas conocidas. El problema era que el software generaba muchos falsos positivos, lo que hacía perder tiempo y dinero. IDses agregó otro recurso al rompecabezas ya desconectado. Los investigadores de amenazas reconocieron la necesidad de combinar todos estos registros en una herramienta útil e identificar los eventos procesables, y así nació SIEM.

Los productos SIEM cambiaron la seguridad de la red al recopilar datos de varias fuentes y traducirlos en un esquema común para crear reglas y correlacionar la información proveniente de diferentes registros. Una característica destacada fue la incorporación del análisis del comportamiento de usuarios y entidades (UEBA), que añadió una capa de datos adicional para extrapolar los problemas de seguridad. Otras iteraciones iniciales incluyen ArcSight SIEM y SOAR.

‍

Estos revolucionarios sistemas de seguridad permitieron a los profesionales de ciberseguridad identificar las amenazas en tiempo real y priorizar y evaluar las montañas de datos provenientes de firewalls, programas antivirus e IDS.

Las primeras herramientas de SIEM venían con algunas limitaciones bastante amplias, como informes básicos y paneles de control escasos. Carecían de sofisticación y no eran escalables. Estas primeras herramientas incluían desencadenantes vulnerables basados en reglas que los actores de amenazas podían manipular fácilmente. Otro inconveniente considerable era la lentitud en el procesamiento de cada etapa de la detección de amenazas (recopilación de datos, definición de políticas, reglas y umbrales, revisión de alertas y análisis de anomalías), lo que hacía imposible una respuesta proactiva. Muchas de estas tareas requerían la intervención humana, lo que llevó aún más tiempo.

Soluciones SIEM modernas han recorrido un largo camino y tienen la ventaja de utilizar la inteligencia artificial y el aprendizaje automático para ampliar sus capacidades. Sin embargo, aún existen algunos obstáculos.

Debido a los problemas mencionados anteriormente, la inteligencia artificial y la analítica avanzada están ocupando un lugar central en la búsqueda de una solución. La llegada del big data y las opciones de almacenamiento de bajo costo ayudaron a que SIEM fuera más eficiente. Por ejemplo, Amazon S3 y otros proveedores resolvieron el problema del almacenamiento a largo plazo de los datos archivados.

En 2015, se introdujeron la IA y el aprendizaje automático para mejorar aún más el SIEM. El análisis de macrodatos y el aprendizaje automático se integraron en las herramientas de SIEM para procesar rápidamente volúmenes de datos mucho mayores sin necesidad de una evaluación manual. La detección de amenazas de día cero y los patrones de ataque de amenazas nuevas y conocidas mejoró considerablemente. Además, estas tecnologías abrieron la puerta a la implementación de herramientas SIEM en entornos basados en la nube. La inteligencia artificial y el análisis avanzado ofrecen a los profesionales de ciberseguridad una capacidad de procesamiento más rápida, una detección de amenazas más eficiente y experiencia en la identificación de patrones de ataque. Como estas herramientas de IA pueden procesar más datos más rápido que un humano, también mejoran drásticamente la precisión y la productividad.

Un área en la que la IA está haciendo grandes avances en las aplicaciones de seguridad es la detección automatizada de amenazas. La automatización impulsada por la IA mejora el proceso de detección de amenazas complejas y emergentes. Un sistema SIEM mejorado con IA bien diseñado puede identificar y alertar al personal de seguridad sobre las amenazas mucho más rápido que un investigador de amenazas humano.

‍

Un ejemplo podría ser un sistema SIEM diseñado para detectar tácticas sofisticadas de ingeniería social en correos electrónicos de suplantación de identidad. A medida que los atacantes evolucionan, los correos electrónicos se vuelven más legítimos sin la mala gramática y el mal inglés habituales. Una herramienta de IA correctamente activada podría detectar anomalías menores, marcarlas como spam e impedir que entren en una red. Un humano puede dejarse engañar, pero un sistema automatizado puede detectar pequeños matices que indican una amenaza.

La IA también se utiliza para el análisis predictivo a fin de prever y mitigar posibles brechas de seguridad. Al automatizar la actividad y los comportamientos de los usuarios, el sistema podría frustrar una intrusión al monitorear a miles de usuarios a la vez, en busca de patrones de ataque específicos.

‍

Por ejemplo, si el sistema detecta que un usuario en particular inicia sesión a una hora extraña del día e intenta acceder a áreas específicas de la red, la herramienta de inteligencia artificial podría bloquear el inicio de sesión de ese usuario hasta que un profesional de seguridad pueda investigar más a fondo.

La gestión mejorada de datos es otra área en la que la IA promueve los esfuerzos de ciberseguridad. Los datos aumentan a un ritmo asombroso; la IA puede clasificar de manera más eficiente grandes cantidades de información e identificar amenazas. La IA utiliza la potencia informática para procesar grandes cantidades de datos y puede limpiarlos para corregir los datos con formato incorrecto y eliminar los duplicados para ayudar a evitar falsos positivos.

‍

La inteligencia artificial también tiene la capacidad de separar los datos esenciales de los no esenciales, lo que hace que el monitoreo de datos sea más eficiente. A medida que aumente la cantidad de datos, la IA también tendrá que evolucionar y utilizar una mayor potencia de cálculo y métodos evolutivos para gestionar más información y extrapolar solo lo que sea útil.

Aunque la IA no es nada nuevo, el último y mayor avance es ChatGPT, que es de lo que todo el mundo habla. Hay un frenesí en todos los sectores, incluida la seguridad, por encontrar formas de utilizar modelos lingüísticos de gran tamaño para mejorar la eficiencia. En este momento, ChatGPT tiene la capacidad de analizar un documento o información y producir un resumen de calidad a nivel humano de esa información. Los humanos también pueden mantener conversaciones con ChatGPT, hacer preguntas y obtener respuestas seguras. Sin embargo, hay una salvedad: ChatGPT está en pañales y puede proporcionar respuestas incorrectas aunque crea que son correctas.

‍

Por lo tanto, es más seguro confiar pero verificar cuando se usa ChatGPT para cualquier cosa esencial. Dicho esto, ChatGPT puede acortar la curva de aprendizaje y automatizar tareas complejas. Por ejemplo, los profesionales de amenazas deben ser programadores de SQL y saber cómo aprovechar varios lenguajes de consulta para hacer su trabajo de manera eficiente.

‍

Chat GPT puede hacer que sea más rápido y fácil para los recién llegados hacer preguntas y obtener respuestas sin tener que aprender el lenguaje de programación. En general, los modelos lingüísticos y de inteligencia artificial están transformando la funcionalidad y la accesibilidad de los sistemas SIEM, lo que afecta principalmente a la velocidad, la eficacia y el éxito.

La IA también afecta a amenazas específicas, lo que hace que la ciberseguridad sea más eficiente. Por ejemplo, los ataques de suplantación de identidad se dirigen a personas y empresas a través de correos electrónicos engañosos. Las herramientas de seguridad con IA integrada pueden conectarse a estos servidores de correo electrónico, detectar correos electrónicos de suplantación de identidad de forma más rápida y sencilla, y bloquearlos o ponerlos en cuarentena para que nunca lleguen al usuario.

En cuanto a los ataques de ransomware, la IA ayuda de diferentes maneras. Por ejemplo, las empresas utilizan algoritmos de aprendizaje automático integrados en la IA para detectar automáticamente patrones y anomalías mucho más rápido que los profesionales de la seguridad humana. Además de la supervisión y la detección, los expertos en ciberseguridad también emplean la inteligencia artificial para responder automáticamente a las amenazas sin intervención humana.

Además de la gran cantidad de soluciones SIEM que existen, algunos proveedores de seguridad también ofrecen soluciones especializadas como EDR (Endpoint Detection and Response), que es la seguridad del host que monitorea un punto final en busca de posibles amenazas. Si la IA detecta algún problema de seguridad, desencadena automáticamente una respuesta basada en un conjunto de reglas predefinidas. A medida que la IA aprende, añade más reglas a la mezcla. Otro ejemplo son los productos de correo electrónico que se centran específicamente en la detección de correos electrónicos de suplantación de identidad. Los manuales de SOAR son un tipo de especialización en la que el proveedor codifica las prácticas de una empresa. El problema con esto es que alguien tiene que entrevistar manualmente a cada empresa y codificarlo en el producto para un cliente específico. Estos libros de jugadas se consideran una función auxiliar del SIEM.

La tecnología ha estado en el tren bala durante muchos años y continúa evolucionando rápidamente. SIEM revolucionó la ciberseguridad al consolidar los datos procedentes de diversas fuentes, organizarlos y analizarlos para identificar las amenazas y responder a ellas. A medida que aumentaba el volumen de datos y las amenazas evolucionaban para hacerse más sofisticadas, era necesario ponerse al día con los esfuerzos de SIEM. Los modelos SIEM modernos utilizan la inteligencia artificial y el aprendizaje automático (ML) para resolver estos problemas y afrontar con confianza los desafíos futuros.

Las soluciones SIEM basadas en IA automatizan la recopilación, la normalización y el análisis de los datos. Basándose en el aprendizaje automático y los macrodatos, el sistema de inteligencia artificial puede examinar de forma rápida y eficiente volúmenes de datos para detectar amenazas de forma proactiva y responder a ellas automáticamente antes de que se conviertan en un incidente de seguridad. La IA convierte a SIEM en un centinela que protege a la empresa y minimiza la posibilidad de que se produzcan brechas de seguridad o ataques antes de que ocurran.

Un ejemplo sería el de una empresa que utiliza la IA con SIEM para supervisar, detectar y responder a las amenazas: un colectivo de piratas informáticos intenta acceder a los servidores de la empresa. El motor ML ha aprendido los patrones de este grupo de hackers y sabe qué buscar para identificar las amenazas. Tan pronto como implementan su procedimiento estándar para violar la red de la empresa, la IA detecta su presencia y toma medidas para evitar la violación. Los programas antivirus y antimalware son otras formas en que la IA detecta amenazas y minimiza los daños al poner en cuarentena los archivos y el software que considera peligrosos.

Otra área de interés es la integración con las tecnologías emergentes. Históricamente, SIEM y SOAR eran entidades independientes. SIEM se encarga de la supervisión y la detección, y SOAR se encarga de la respuesta. Los vendedores han estado adquiriendo empresas SEIM o SOAR para ofrecer ambas caras de la moneda, pero las tecnologías siguen divididas en soluciones independientes, lo que las hace menos eficaces.

‍

El futuro consiste en crear productos desde cero con una combinación de SIEM y SOAR que utilicen la inteligencia artificial y el análisis predictivo desde el principio. Ahora, tenemos soluciones totalmente integradas que lo hacen todo: monitorear, detectar y responder, y todo funciona en conjunto sin problemas.

SIEM se integrará con el aprendizaje automático, la cadena de bloques y el IoT para una seguridad integral. Constantemente aparecen nuevos programas, dispositivos y soluciones. Por lo tanto, las soluciones SIEM deberán ser lo suficientemente flexibles como para incluir tecnologías que no existen hoy pero que existirán mañana. Agregar estos recursos sobre la marcha debe ser simple y efectivo.

El mayor cambio en las soluciones SIEM del futuro es un cambio de enfoque de una postura reactiva a una proactiva. El objetivo de los sistemas SIEM modernos es identificar y mitigar automáticamente las ciberamenazas antes de que ocurran, al tiempo que se minimiza la necesidad de supervisión transaccional por parte de un analista de amenazas. Si bien se ha exagerado la preocupación por la posibilidad de que la IA sustituya a los humanos, el escenario más probable es una combinación de IA y humanos, en la que la IA gestione los procesos de bajo nivel y los analistas capacitados se centren en los desafíos estratégicos de nivel superior.

La IA también está afectando a las soluciones de SIEM al cambiar la interfaz de usuario y aumentar la accesibilidad. Las herramientas generativas como ChatGTP combinadas con NLP (procesamiento del lenguaje natural) facilitan a los analistas la formulación de una pregunta de seguridad en un lenguaje sencillo y la obtención de una respuesta inmediata, independientemente de la complejidad de la pregunta.

‍

Las herramientas de inteligencia artificial más avanzadas pueden clasificar miles de millones de puntos de datos (ahora medidos en petabytes) para obtener una respuesta en cuestión de segundos, en lugar de días. Por lo tanto, la IA tiene el potencial de reducir la curva de aprendizaje con lenguajes de consulta patentados, haciendo que los sistemas SIEM sean más accesibles para una gama más amplia de usuarios. Los profesionales de la seguridad no tendrán que ser programadores ni entender los lenguajes que supervisan. La IA y la PNL pueden hacer el trabajo pesado por ellos.

La respuesta automatizada a las amenazas es una de las áreas más cruciales de las futuras mejoras que se esperan en las herramientas SIEM. La IA en los sistemas de detección puede simplificar el enfoque de respuesta a incidentes y la gestión de amenazas, eliminando la necesidad de sistemas separados, una programación exhaustiva y, en muchos casos, incluso la intervención humana. Si bien la IA siempre puede responder más rápido que un experto en seguridad, los humanos (como se mencionó anteriormente) deben estar al tanto.

El aprendizaje automático, basado en macrodatos, tiene un alcance cada vez mayor. Los sistemas SIEM basados en inteligencia artificial avanzan rápidamente y aumentan sus capacidades para perfilar amenazas, detectar anomalías y crear reglas sobre cómo es el comportamiento normal y qué se considera una amenaza.

La privacidad de los datos y el cumplimiento normativo son otra área en la que entrarán en juego las mejoras futuras. No es ningún secreto que los gobiernos, especialmente en Europa, dan prioridad a la privacidad y la seguridad, y las leyes correspondientes cambian constantemente. Las soluciones SIEM se están adaptando para cumplir con el creciente énfasis en la privacidad de los datos y las normas de cumplimiento normativo en todo el mundo. ¿Cómo lo hacen sin comprometer la eficacia?

El desafío se presenta cuando la ley establece que no se puede mirar algo aunque sea necesario por motivos de seguridad. Por ejemplo, en algunos países, los correos electrónicos de los empleados son privados, aunque sean correos electrónicos de la empresa y ordenadores portátiles de la empresa. Por lo tanto, como profesional de la seguridad, aunque no puede leer los correos electrónicos de las personas cuando los reciben los usuarios para detectar ataques de suplantación de identidad, puede trasladar esa función al servidor, examinarlos tan pronto como lleguen antes de que se entreguen y poner en cuarentena cualquier correo electrónico sospechoso.