El Aprendizaje Automático cuenta con muchas aplicaciones en la actualidad. La capacidad de identificar patrones entre cantidades masivas de datos para realizar predicciones ha impulsado avances dentro de campos como la industria, la sanidad o la seguridad. Especialmente en ciberseguridad, esta rama de la Inteligencia Artificial se ha convertido en el aliado perfecto para multiplicar la productividad de los equipos de seguridad y permitir que los analistas se centren en lo realmente importante.
¿Cómo impulsa el Machine Learning la ciberseguridad? Más allá de los SIEM, la nueva generación de soluciones para la Gestión de Eventos e Información de Seguridad (NGSIEM) permiten la integración de innumerables fuentes de información, como dispositivos IT de comunicaciones o dispositivos IOT de despliegue masivo, entre muchas otras. Además, hacen posible la integración de plataformas de inteligencia de amenazas para enriquecer esta información, facilitando indicadores procedentes de otras fuentes, como los CSIRTs.
De esta manera, las plataformas NGSIEM recopilan un volumen inmenso de información preprocesada o de datos en bruto. Para hacer un uso eficaz de ellos, es necesario combinar estos datos mediante motores de correlación de nueva generación, capaces de desarrollar inteligencia en tiempo real. El motor de correlación Next Generation Correlation Engine analiza toda la información a través de procesos que ejecutan flujos con restricciones estructurales, espaciales y lógicas, aplicando algoritmos de clasificación, búsqueda e inferencia que permiten contextualizar el procesamiento, identificar anomalías y adaptar los resultados al entorno.
Esta información combinada con componentes de proyección, evaluación de comportamientos y algoritmos de aprendizaje, nos permite predecir situaciones a futuro y crear nuevas reglas de correlación de forma automatizada, tanto para ataques existentes como para los que aún no han tenido lugar, ayudando a identificarlos antes de que sucedan. Así podemos automatizar la resolución de incidentes, mejorando la eficiencia y eficacia de los analistas de seguridad. Aprovechando las capacidades SOAR (Security Orchestration, Automation and Response), podremos generar ‘Playbooks’ de gestión de incidentes que permiten automatizar acciones de respuesta, como bloquear una dirección IP en un cortafuegos o poner en cuarentena un puesto de usuario.
El Machine Learning permite a los analistas centrarse en los sucesos que realmente pueden impactar en los activos de una organización y que no pueden gestionarse de forma automática, mejorando la calidad del servicio del equipo de ciberseguridad y llegando a prevenir ciberataques. ICA Sistemas y Seguridad implementa Machine Learning en su solución NGSIEM LogICA, plataforma certificada Common Criteria e incluida en el catálogo de productos recomendados por el Centro Criptológico Nacional.