La SIEM, o consola de administración de eventos e información de seguridad, ha sido un elemento básico para los equipos de seguridad durante más de una década. Es el único panel de vidrio que muestra eventos, alertas, registros y otra información que se puede usar para encontrar una infracción. A pesar de su casi ubicuidad, he sido durante mucho tiempo un crítico de SIEM y creo que la herramienta ya pasó su mejor momento. Este ciertamente no es el consenso; He sido criticado en el pasado por tomar esta postura.
Los SIEM heredados están desactualizados
El punto de prueba que ofrezco es el hecho de que cada vez que ocurre una infracción, el proveedor de SIEM afirma haberla visto, pero la infracción ocurrió de todos modos. Ese fue el caso de muchas empresas de renombre que sufrieron un ciberataque de interés periodístico. Target, Sony y muchos otros se hicieron eco de lo mismo. El SIEM lo vio, pero el equipo de seguridad lo pasó por alto. Si los SIEM son tan poderosos, ¿por qué sigue sucediendo esto?
La respuesta es que los SIEM ya no pueden mantenerse al día con los volúmenes masivos de datos que ingresan y deben correlacionarse, clasificarse y visualizarse de una manera que ayude a las operaciones de seguridad a priorizar los eventos. Esto puede ayudar a separar una infracción real de un falso positivo. Muchos profesionales de la seguridad me han dicho que su SIEM muestra tanta información ahora que la ignoran. En cierto sentido, demasiada información es tan útil como ninguna información.
Palo Alto presenta una herramienta de operaciones impulsada por IA
Esta semana, Palo Alto Networks presentó su Cortex XSIAM (Administración de Automatización e Inteligencia de Seguridad Extendida), que puede verse como un SIEM modernizado con una infusión de inteligencia artificial. El concepto de XSIAM es que utiliza IA para separar las amenazas del ruido en las inmensas cantidades de datos de telemetría generados por la infraestructura actual. Si se hace correctamente, esto aceleraría la identificación de amenazas, lo que a su vez acelera la respuesta a las amenazas.
La infusión de IA en la seguridad es algo que se ha necesitado con urgencia durante algún tiempo. Todavía hay algunas personas que se oponen, y la idea de sacar el proceso analítico de las manos de las personas y confiar en las máquinas, en realidad, puede ser aterrador.
La verdad es que los malos están usando IA. Usar personas para luchar contra los actores de amenazas armados con aprendizaje automático es similar a llevar un cuchillo a un tiroteo. Es hora de combatir el fuego con fuego, y eso significa aceptar que la IA debe ser una parte clave del avance de la ciberseguridad.
Una de las principales diferencias entre un SIEM tradicional y Cortex XSIAM es que este último recopila información de telemetría granular, no solo registros y alertas. Aquí es donde la IA puede agregar valor, ya que puede impulsar acciones de respuesta autónomas de forma nativa, como la correlación cruzada de alertas y datos, la detección de amenazas emergentes sofisticadas y la remediación automatizada basada en inteligencia de amenazas y datos de superficie de ataque.
Las plataformas de seguridad son el camino a seguir
El lanzamiento de Cortex XSIAM es un resultado directo de la plataforma de seguridad que ha construido Palo Alto Networks. Históricamente, los profesionales de la seguridad han utilizado los mejores productos puntuales para asegurar puntos específicos en el entorno. Es por eso que, según ZK Research, la empresa promedio tiene 32 proveedores de seguridad, y algunos informan más de 100. Una de las agencias gubernamentales de EE. UU. de tres letras me dijo que tiene más de 200.
Los CISO ahora están comenzando a comprender que esta estrategia no funciona. Un CISO afirmó que lo mejor de su clase en todas partes no conduce a la mejor protección contra amenazas de su clase. De hecho, crea una protección subóptima porque se vuelve imposible administrar las políticas de seguridad entre los distintos proveedores.
No creo que podamos tener un proveedor para manejar todo, pero las empresas deben elegir un único proveedor de plataforma abierta que tenga una base sólida en redes, nube y punto final, y luego aumentar eso con tecnologías que interoperan con esa plataforma. . Esta ha sido la visión sobre la que ha estado trabajando Palo Alto.
El primer punto de prueba para validar el valor de la plataforma fue el lanzamiento de la solución XDR de Palo Alto. En 2018, escribí esta publicación, proclamando que XDR es la evolución de EDR. Mi tesis en ese momento era que mirar los datos del punto final de forma aislada no era suficiente; XDR acumula datos de toda la infraestructura para ver cosas que EDR no puede.
El lanzamiento de Cortex XSIAM sigue el mismo proceso de pensamiento. Los SIEM utilizan datos limitados y análisis manuales y ya no son una forma viable de encontrar amenazas. Este modelo no ha funcionado, no funciona y nunca funcionará. Los equipos de seguridad necesitan una herramienta de operaciones que utilice análisis basados en IA, que extrae datos granulares de toda la plataforma para combatir a los actores de amenazas altamente avanzados de la actualidad.
