El equipo de I+D de TEHTRIS AI ha desarrollado desde cero un módulo basado en Inteligencia Artificial llamado Cyberia eGuardian. El objetivo de este módulo es ayudar, directamente desde la plataforma XDR, a los analistas SOC a controlar la seguridad informática y ahorrar tiempo. Cyberia eGuardian tiene una cobertura de vigilancia de 360°, 24/24 – 7/7, sobre los eventos de seguridad de los endpoints y realiza sobre ellos un pretratamiento integral, priorizando, agrupando y destacando los incidentes de seguridad para los analistas SOC.
Cyberia eGuardian ofrece un análisis avanzado de Deep Learning de las alertas y eventos de TEHTRIS EDR Optimus, que pretende extenderse a todos los productos XDR en futuras versiones. Este análisis consiste, por un lado, en la calificación de cada alerta y evento como «Alta Prioridad» o «Baja Prioridad» y como «Anomalía» o no, y, por otro lado, en la agrupación de alertas y eventos por acción, a lo largo del tiempo en toda la infraestructura de TI, y por ejecución, o proceso unitario en una máquina.
Priorización de alertas y aprendizaje continuo de la IA
El modelo de Inteligencia Artificial de Cyberia eGuardian está entrenado para distinguir alertas de alta prioridad y eventos de baja prioridad.
La atribución de prioridad Alta o Baja se basa en una Puntuación de Prioridad producida por IA que va del 0%, para la menor probabilidad de ser una alerta peligrosa, al 100%, para la mayor probabilidad de ser peligrosa.
Estrategia MSSP con Cyberia eGuardian
El pretratamiento y la priorización de Cyberia eGuardian permiten a los analistas optimizar su tiempo identificando automáticamente los eventos de seguridad urgentes e importantes en los que centrarse en primer lugar. TEHTRIS propone una estrategia MSSP personalizable que consiste en la combinación de la calificación de gravedad basada en MITRE y la puntuación de prioridad basada en IA, como en la siguiente figura.
Análisis MSSP con Cyberia eGuardian
Complementariedad de prioridad y gravedad
Esta estrategia permite identificar los eventos de seguridad de máxima prioridad, ahorrando a los analistas la mayor parte de las tareas rutinarias, que consumen mucho tiempo, son poco interesantes y de escaso valor. El análisis de Cyberia eGuardian clasifica automáticamente las alertas por prioridad, los analistas procesan tan solo el 0,1% del total de alertas que tienen hoy en día.
Personalización de la IA y aprendizaje continuo «man-in-the-loop
El modelo base de Inteligencia Artificial se adaptará automáticamente a las características y preferencias del cliente a los pocos días de su despliegue gracias al aprendizaje continuo in situ de la red neuronal. Esto permite que el modelo de IA de Cyberia eGuardian evolucione y aprenda con la evolución del entorno del cliente a lo largo del tiempo.
Cyberia eGuardian se basa en un modelo supervisado de Deep Neural Network. Esto significa que necesita datos etiquetados para aprender. Las alertas se etiquetan automáticamente como «Alta prioridad» o «Baja prioridad» utilizando comentarios directos e indirectos de los analistas del SOC, en un enfoque de aprendizaje continuo man-in-the-loop. Este tipo de enfoque otorga el control a los expertos en seguridad sobre esta herramienta de seguridad de IA.
Agrupación y detección de anomalías
Un gran volumen de las alertas y los eventos son generados por acciones que se producen con cierta regularidad.
Identificar rápidamente alertas nuevas o poco frecuentes puede convertirse en un reto. Para solucionar este problema, Cyberia eGuardian enriquece y contextualiza cada alerta y evento con Recurrence Insights.
Se indica la Recurrencia, o número de alertas, generadas por la misma acción, junto con las fechas de la primera y la última vez que se vio, así como estadísticas sobre la frecuencia horaria de la acción y la distribución de las últimas 24 horas y la lista de Endpoints donde se ha visto la acción.
Cyberia eGuardian también ofrece la agrupación automática de múltiples alertas basadas en condiciones predefinidas sobre su proceso asociado. Esto significa que todas las alertas agrupadas son generadas por la misma ejecución, Cyberia eGuardian ofrece entonces una visión completa de toda la información sobre el proceso recopilado por múltiples módulos EDR a tiempo.
Detección de anomalías
Cyberia eGuardian ofrece un análisis de detección de anomalías. Esta detección de anomalías se basa en las predicciones de múltiples modelos de IA no supervisados que proporciona cada uno para la predicción final de anomalías. El objetivo de esta función es informar de alertas inusuales en función de su contenido. El modelo de detección de anomalías aprende cada día para seguir la evolución de la línea de base de los eventos de seguridad de los clientes.
Gracias a la información obtenida de las predicciones de IA, Cyberia eGuardian puede proporcionar una clasificación de máquinas y usuarios en riesgo. Cada evento de seguridad se enriquece con el contexto de la máquina y el usuario en función de los conocimientos de los modelos de detección de anomalías de Cyberia eGuardian.
Explicación de la IA y perspectivas de seguridad
La ética y la confianza como principios centrales de TEHTRIS, han inspirado a los equipos de I+D a desarrollar modelos de IA éticos y transparentes. Por ello, Cyberia eGuardian explica sus predicciones. Esta explicación destaca las variables del evento de seguridad en las que el algoritmo de IA ha basado su elección.
La explicación de las predicciones de Cyberia eGuardian es lo que la convierte no sólo en una herramienta de Inteligencia Artificial, sino en un arma de defensa de Inteligencia Aumentada, que proporciona a los expertos la información que necesitan para tomar la decisión final.