El Centro de Operaciones de Seguridad (SOC) de Kaspersky está implementando tecnologías avanzadas de Inteligencia Artificial (IA) y Machine Learning (ML) para optimizar la detección de amenazas y reducir la carga de trabajo de sus analistas. A través del uso del Autoanalyst basado en IA, Kaspersky ha logrado procesar aproximadamente el 30% de los falsos positivos de media en 2023, mejorando la eficiencia y permitiendo a los analistas centrarse en incidentes más complejos y críticos.
En el esfuerzo por minimizar el riesgo, el equipo de SOC de Kaspersky maneja un gran número de falsos positivos en la lógica de detección. Según el informe analítico MDR de 2023, el equipo de SOC de Kaspersky procesó 431.512 alertas de seguridad, de las cuales solo 32.294 fueron clasificadas y resultaron en 14.160 incidentes reportados a clientes. Estas situaciones presentan un considerable margen para la automatización, incluyendo el uso de Machine Learning (ML), Deep Learning e Inteligencia Artificial (IA). Concretamente, el Autoanalyst basado en IA utilizado en MDR procesó aproximadamente el 30% de los falsos positivos de media en 2023, reduciendo la carga en el equipo de SOC en alrededor de un 25%.
IA/ML en la detección de incidentes
La aplicación más común del ML en ciberseguridad es la detección de ataques, utilizando enfoques tanto supervisados como no supervisados. En el enfoque supervisado, el modelo se entrena con datos relacionados con la actividad de los atacantes para identificar comportamientos maliciosos similares. Por el contrario, el aprendizaje automático no supervisado perfila el comportamiento legítimo de sistemas y servicios para detectar anomalías, desviaciones y valores atípicos. A pesar de su eficacia, ambos enfoques son propensos a errores, lo que significa que los falsos positivos siguen siendo un desafío en los sistemas de detección automatizada.
Los SOC están explorando cómo reducir la carga de trabajo de los analistas con la ayuda del ML, resolviendo el problema de la eficiencia en la clasificación y filtrando los falsos positivos en el flujo resultante de alertas. La solución a este problema es el Autoanalyst basado en IA, un modelo de ML supervisado que aprende de las alertas procesadas por el equipo de SOC y luego intenta replicar su comportamiento de manera independiente. Al reducir el número de alertas que requieren la investigación de los analistas de SOC en al menos un cuarto, el Autoanalyst ahorra recursos del equipo, manejando las alertas más típicas y rutinarias y permitiendo a los analistas de SOC centrarse en los casos que requieren una investigación más profunda.
Beneficios de MDR con IA/ML
Para minimizar el riesgo de perderse incidentes, se crea un número cada vez mayor de reglas de detección, incluidas aquellas basadas en IA/ML, resultando en un alto volumen de alertas que requieren de la atención del equipo de SOC. Esto provoca más falsos positivos y reduce la conversión de la lógica de detección. El objetivo es reducir los falsos positivos y aliviar la carga de trabajo de los analistas, buscando un equilibrio entre la calidad de la detección y la conversión de la lógica de detección.
El Autoanalyst permite lograr un equilibrio entre una alta calidad de detección de ataques ocultos y una reducción en el número de falsos positivos. Al aumentar la tasa de filtrado del Autoanalyst, se reduce la carga de trabajo en el equipo de SOC, aunque la probabilidad de error de clasificación aumenta. Este margen de error, que en el caso de Kaspersky MDR no supera el 2%, define el volumen de alertas de falsos positivos que el Autoanalyst puede filtrar manteniendo una calidad aceptable.
“La calidad del trabajo del Autoanalyst se monitoriza dinámicamente y su porcentaje de filtrado de alertas se ajusta en consecuencia. Este modelo de ML parece haber aprendido de los analistas de SOC no sólo a reconocer los falsos positivos, sino también a "cansarse" y a estar "sobrecargado de trabajo", lo que lleva a una degradación en la calidad. Este problema se aborda mediante el reentrenamiento constante del modelo si su tasa de error de clasificación de falsos positivos supera el 2%”, concluye Sergey Soldatov, jefe del Centro de Operaciones de Seguridad en Kaspersky.
