¿Por qué combinar Automatización y Ciberseguridad?
Gartner ha adoptado el término «Hiperautomatización» para enfatizar la enorme ventaja del tiempo de apreciación que la automatización aporta y reconoce todos los beneficios de combinar la automatización robótica de procesos (RPA) con la inteligencia artificial (IA) y el aprendizaje automático (ML).
Haig Hanessian, Sales Latin America de UiPath, comenta: ‘RPA ha proporcionado una transformación digital más rápida que cualquier otra tecnología y lo ha hecho centrándose en los resultados empresariales en primer lugar. Los robots han demostrado ser vitales en casi todos los procesos críticos para el negocio’.
Tomando como ejemplo la pandemia, la automatización demostró ser una de las únicas tecnologías para responder rápidamente a las tensiones en los sistemas gubernamental y hospitalario. La automatización ha ayudado a las enfermeras a pasar más tiempo con los pacientes y está ayudando a acelerar los ensayos clínicos en el período previo a una vacuna y la terapia que salva vidas.
El área donde la velocidad de respuesta es importante es la ciberseguridad. Su negocio depende de la rapidez con la que responda y proteja contra nuevas amenazas. Consideremos un flujo de trabajo de seguridad simplificado por un momento. Imaginemos que hay algo «malo» que representa una amenaza y queremos protegernos de ello.
Si sabemos cuál es la amenaza, podemos vigilarla. En términos prácticos, probablemente tendremos que estar atentos a una superficie de amenaza bastante amplia que incluya entornos de nube, redes y terminales. Una superficie de amenaza es el número total de posibles exposiciones a la seguridad. Como los atacantes no necesitan mucho tiempo para causar daños o interrupciones, tendremos que mantener la vigilancia en tiempo real – o lo más cerca posible de tiempo real.
Los flujos de datos en tiempo real llegan a un sistema central, como una representación de datos externos (XDR), puede normalizar y agregar los datos y buscar signos de una amenaza.
¿Cómo se identifica una amenaza? Puede significar varias cosas – una firma de malware específica, un patrón de comportamiento, o una serie de eventos que son individualmente inocuos pero que combinados revelan un ataque sofisticado. XDR aplica una serie de técnicas para determinar con cierto grado de confianza si los datos capturaron o no evidencia de un ataque.
¿Y cómo sabemos qué buscar? Idealmente, tenemos un equipo de «cazadores de amenazas» llevando a cabo investigaciones proactivas. Pero también queremos ayudarlos equipándolos con herramientas que puedan aprender patrones de amenazas y revelar enlaces que pueden escapar de la «detección» humana.
OK, siguiendo el razonamiento: el sistema detectó algo sospechoso. ¿Implementamos automáticamente algún tipo de respuesta? Si es así, ¿dónde? ¿Y cómo? ¿O creamos un analista para su examen? Hasta ahora, sólo consideramos una sola amenaza entre los innumerables que existen. Ahora vamos a ampliar el ejemplo para incluir todas las amenazas, incluso aquellas que no sabemos cómo reconocer. Además, ampliaremos el entorno para incluir una serie de productos y soluciones de seguridad de varios proveedores.
Incluso con este sencillo ejemplo, está claro que la ciberseguridad moderna se basa en flujos de trabajo complejos que implican:
1. Consumir y procesar información
2. Decidir cuándo y dónde actuar
3. Implementación de estas acciones
4. Medición de la respuesta (es decir, ¿funcionó?)
Haig afirma: ‘RPA ofrece una mejora, ya que hace que la automatización sea más accesible. Pero la hiperautomatización ofrece un nuevo nivel de potencial para automatizar, acelerar y mejorar las respuestas de seguridad’.
La hiperautomatización significa que:
1. Los equipos de seguridad pueden realizar un seguimiento del creciente número de alertas de seguridad y posibles incidentes, ya que más tareas se automatizan y se mejoran los análisis conducen a menos positivos falsos y derrochadores
2. Las respuestas, ya sean totalmente automatizadas o incluso dependientes de la participación humana, se implementan de forma más rápida y precisa.
3. Las cosas que antes no se podían automatizar (por ejemplo, porque no hay una API) se pueden incorporar al flujo de trabajo automatizado.
Y el ejemplo simplificado anterior sigue siendo sólo arañar la superficie: el potencial es realmente ilimitado.