logo ORSYS Le mag

El medio de la formación y las competencias

Inicio > Tecnologías digitales > Ciberseguridad > Automatización de la ciberseguridad: ¿qué expectativas, qué límites?

Automatización de la ciberseguridad: ¿qué expectativas, qué límites?

Publicado el 8 de septiembre de 2023
Compartir esta página :

Mejorar la productividad de los ciberanalistas liberándolos de tareas repetitivas y que consumen mucho tiempo: esta es la principal promesa de la automatización. Más allá de esta búsqueda de productividad, ¿es la automatización una posible respuesta a la escasez de talento? ¿Cuáles son sus límites?

Automatización de ciberseguridad

La automatización se ha convertido en un arma de doble filo. Por un lado, los ciberdelincuentes lo aprovechan para llevar a cabo ciberataques cada vez más frecuentes y sofisticados. Por otro lado, los equipos de seguridad operativa (SecOps) se ven obligados a utilizarlo para contrarrestar estas amenazas. Al mismo tiempo, la automatización también parece ser una respuesta a la escasez de expertos en ciberseguridad. Sin embargo, más allá de sus aparentes ventajas, ¿cuáles son sus limitaciones y limitaciones reales?

Automatización en ciberseguridad: desafíos y promesas

¿Qué es la automatización en la seguridad operativa?

La automatización en ciberseguridad consiste en “industrializar” determinadas tareas realizadas por ciberanalistas y equipos de SecOps. El objetivo es optimizar la detección de amenazas y responder más rápidamente. Por tanto, forma parte de una estrategia que es a la vez preventiva y proactiva.

¿Por qué automatizar la ciberseguridad?

Diariamente, los ciberanalistas enfrentan desafíos constantes:

  • Analizar y procesar un volumen de información cada vez mayor.
  • Tomar decisiones sobre las acciones a realizar.
  • Realice estas operaciones en un plazo (muy) ajustado y reduzca los tiempos de respuesta a incidentes.

Ante estas limitaciones, la automatización y la inteligencia artificial ofrecen una respuesta eficaz. Cumplen con las crecientes expectativas de las organizaciones en términos de reducir el tiempo de reacción y la relevancia de las alertas. El objetivo es, en particular, reducir los falsos positivos.

Si bien se amplía el alcance de los activos que deben protegerse, el grupo de expertos disponibles para cuidarlos sigue siendo tan escaso como siempre. En otras palabras, la automatización mejora la productividad de los ciberanalistas al tiempo que reduce el riesgo de agotamiento o "fatiga cibernética".

¿Qué tareas se pueden automatizar?

Los principales casos de uso de la automatización en la seguridad operativa son:

  • detección y respuesta automatizadas a amenazas. Esto implica identificar rápidamente actividades sospechosas o maliciosas y responder a ellas de forma autónoma, a menudo en tiempo real.  
  • Detección automatizada de anomalías en la circulación de datos. El análisis de flujos de datos puede revelar comportamientos anómalos o patrones de tráfico inesperados. Estas anomalías, una vez identificadas, pueden ser una señal de actividad maliciosa o compromiso.
  • Automatización de Cyber Threat Intelligence (CTI), recopilación y análisis de datos sobre ciberamenazas. Su automatización permite enriquecer los perfiles de amenazas, obtener una visión clara de las tácticas de los ciberatacantes, adaptar las medidas de seguridad existentes (bloqueo de puertos, por ejemplo) y orientar las decisiones a tomar.  

El auge de la automatización dentro de las soluciones de detección y respuesta a incidentes

La evolución de las herramientas de detección y respuesta a incidentes ilustra claramente la creciente integración de la automatización en los procesos de seguridad operativa. Entre estas herramientas, incluimos:

  • EPP (Plataforma de protección de terminales) para proteger los terminales. Suele ser una evolución de los antivirus tradicionales para ofrecer una protección más completa.
  • UEBA (Análisis del comportamiento de usuarios y entidades) que identifica actividades sospechosas basadas en el comportamiento de usuarios y entidades dentro de una organización.
  • SIEM (Información de Seguridad y Gestión de Eventos). Esta solución centralizada recopila, almacena, analiza y visualiza registros y eventos de seguridad históricos o en tiempo real para proporcionar una descripción general de posibles amenazas e incidentes.
  • EDR (detección y respuesta de terminales). Esta plataforma identifica y responde a posibles amenazas en los puntos finales. Ofrece capacidades avanzadas de análisis e intervención.
  • XDR (detección y respuesta extendidas). Esta evolución de EDR extiende la detección y la respuesta más allá de los simples puntos finales para incluir otras fuentes de datos, como redes o servidores.
  • SOAR (Orquestación, Automatización y Respuesta de Seguridad). Esta solución combina recopilación de datos, respuesta automatizada y orquestación para mejorar la eficiencia de las operaciones de seguridad.

Los antivirus tradicionales instalados en las estaciones de trabajo ya no pueden por sí solos contrarrestar las amenazas actuales como WormGPT o los ataques de evasión. Sobre todo porque algunos de estos ataques se basan en inteligencia artificial. Esta realidad está empujando a los profesionales de la ciberseguridad a integrar no sólo la automatización, sino también la IA en su arsenal defensivo. Estos nuevos tipos de ataques también les obligan a formarse continuamente para desarrollar sus prácticas.

Gracias a su capacidad para procesar enormes volúmenes de datos, la IA puede analizar, priorizar y responder a las amenazas con una velocidad sin precedentes. También es un activo valioso para establecer escenarios de respuesta automatizada, a menudo denominados libros de jugadas.

¿Dónde están las empresas en términos de automatización de su ciberseguridad?

Según un estudio reciente sobre la adopción de la automatización de la ciberseguridad realizado por la empresa de ciberseguridad ThreatQuotient en 2022, la automatización está ganando impulso. De hecho, el nivel de confianza que las empresas tienen en él, así como el presupuesto que le asignan, están aumentando significativamente. En 2022, 84 % de las empresas encuestadas confiaron en la automatización, frente a solo 59 % en 2021. De este panel, compuesto por 750 profesionales de la seguridad con sede en el Reino Unido, EE. UU. y Australia, 98 % indican que su presupuesto asignado a la automatización es creciente. Los proyectos actuales se refieren principalmente a la automatización de Inteligencia sobre amenazas cibernéticas y respuesta a incidentes.

El estudio también revela que la mayoría de las empresas se encuentran solo en la etapa inicial de adopción de la automatización. Cuando se les pregunta sobre su nivel actual, 63 % creen que están en el nivel 2 o 3, en una escala donde 5 representa el nivel máximo de madurez. Esto demuestra que la automatización aún puede progresar. Además, durante este proceso, las empresas se enfrentan a preguntas muy concretas: ¿cómo implementar la automatización en entornos heterogéneos? ¿Cómo integrarlo con las herramientas existentes? ¿Cómo puede garantizar que las soluciones de automatización se mantengan actualizadas frente a las amenazas en constante evolución? ¿Y qué se puede hacer para garantizar que la automatización no cree riesgos adicionales de protección de datos o privacidad?…

¿Qué lugar ocupa el ser humano frente a la automatización?

¿La automatización, una palanca de rendimiento, no una sustitución del talento?

Aunque la IA y la automatización se utilizan ahora ampliamente para mejorar la productividad de los equipos abrumados por un volumen cada vez mayor de eventos que analizar, en sentido estricto no son una respuesta a la escasez de talento en ciberseguridad. Su principal interés radica más bien en su capacidad para “mejorar el entorno de trabajo de los analistas”, como destaca IBM en su informe “IA y automatización para la ciberseguridad” de junio de 2022.

A través de la automatización, los analistas se vuelven más precisos y centran sus esfuerzos en amenazas que requieren un análisis más profundo. Esto no sólo permite mejorar la fase de investigación de las amenazas más críticas y aumentar la productividad, sino también mejorar su experiencia dedicándose a tareas de mayor valor añadido.

Sin expertos no hay automatización exitosa

La implementación de modelos o escenarios automatizados requiere la intervención de expertos para una configuración adaptada a las amenazas y especificidades organizativas específicas de cada empresa.

Ante el auge de la automatización, los profesionales de la ciberseguridad no sólo deben encontrar un nuevo lugar, sino también invertir en educación continua. Ya se está gestando una división de tareas entre el hombre y la máquina. Si las acciones de detección y respuesta a incidentes se benefician de la automatización, algunos expertos consideran que las acciones de remediación (destinadas a limitar el impacto de un riesgo o incidente) deben seguir siendo impulsadas por humanos. En última instancia, para ser verdaderamente eficaz, la automatización debe ir estrechamente ligada a la experiencia humana.

¿Cuáles son los obstáculos y límites de la automatización?

Si bien la automatización es prometedora para reducir las tareas de los analistas cibernéticos y los equipos operativos, no tiene nada de simple. En la práctica, varios desafíos pueden obstaculizar su integración, como la falta de conocimiento preciso del perímetro a proteger, especialmente si la empresa no dispone de un mapa actualizado de su sistema de información. La heterogeneidad y complejidad de los sistemas y materiales a analizar es otra. O los silos organizacionales entre diferentes equipos y diferentes profesiones también pueden obstaculizar una implementación efectiva.

Además, la eficacia de la automatización está estrechamente relacionada con el nivel de madurez en ciberseguridad de la organización. La integración exitosa de la automatización requiere procesos operativos que estén bien documentados por... expertos.

A nivel técnico, la automatización enfrenta varios desafíos:

  • Integridad de los datos : la falta de datos contextuales completos y actualizados, como lo demuestra el límite MITRE ATT&ACK®,
  • Gestión de la complejidad : la necesidad de abordar acciones y pasos complejos que requieren validación humana.
  • Escalabilidad : Ampliar la automatización a escala puede presentar desafíos.
  • Orquestación remota : la complejidad de la orquestación remota de soluciones locales.

Al final del día

Ni mágica ni omnipotente, la automatización genera grandes expectativas en términos de productividad y su adopción por parte de las empresas se está acelerando. Sin embargo, para que sea plenamente eficaz, debe llevarse a cabo en organizaciones donde los proyectos de ciberseguridad ya estén bien establecidos. Lejos de reemplazar a los analistas de ciberseguridad, por el contrario, los invita a desplegar su experiencia donde sea más útil y a desarrollar continuamente nuevas habilidades. ¿Cuál es el futuro de la automatización? La hiperautomatización ya está asomando su fea cara. El uso de algoritmos de aprendizaje automático, que pueden crear modelos de automatización y tomar decisiones por sí solos, demuestra el rápido cambio hacia una ciberseguridad aún más automatizada.

También pueden interesarle estos artículos

herramientas sin código/bajo código Herramientas de bajo código/sin código: automatizar para aumentar la eficacia Ciberseguridad: el ransomware, la amenaza número 1 - Orsys Formación Ciberseguridad: las 10 medidas del Senado para proteger a las empresas Ilustración del artículo NIS 2NIS 2: ¿cómo prepararse para aplicar la nueva directiva de ciberseguridad?

ARTÍCULO ANTERIOR

3 consejos para obtener la certificación ISTQB

ARTÍCULO SIGUIENTE

¿Qué certificación informática es más beneficiosa para su empresa?

Nuestro experto

Consejo editorial de ORSYS

Formado por periodistas especializados en informática, gestión y desarrollo personal, el equipo editorial de ORSYS Le mag [...].

dominio asociado

Ciberseguridad

formación asociada

Ciberseguridad en redes/Internet, resumen

Computación en la nube, seguridad

Seguridad del sistema y de la red, nivel 2