Infoblox anunció el miércoles la disponibilidad de SOC Insights, una nueva herramienta impulsada con inteligencia artificial (AI, por sus siglas en inglés) que aumenta la capacidad de su solución para la detección de amenazas BloxOne Threat Defense a fin de detenerlas antes de que ocurran, con tiempos de investigación y respuesta más rápidos.
“Vamos a ser un referente en la industria porque estamos incorporando AI para disminuir la carga de trabajo en la operación de los SOC [centros de operación de seguridad] por la cantidad de alertas, sin desplazar la fuerza de trabajo”, aseguró el vicepresidente de Ventas para América Latina de Infoblox, Iván Sánchez.
SOC Insights analiza grandes cantidades de datos de red y amenazas para identificar lo que más importa, proporciona información procesable e impulsa la automatización con el ecosistema de seguridad más amplio para una rápida remediación y contención.
“Veníamos aplicando aprendizaje automático [ML] y ahora con SOC Insights, que se integra a BloxOne, ayudaremos a eficientar la operación”, señaló en entrevista.
La herramienta impulsa su solución de detección y respuesta de DNS. Además, permite a los analistas de seguridad impulsar investigaciones que realmente importan y reducir drásticamente el tiempo de respuesta al convertir grandes cantidades de eventos de seguridad, redes, ecosistemas y datos de inteligencia de DNS únicos en un conjunto manejable de información procesable inmediata a la velocidad de la AI.
Infoblox va contra el desgaste en los equipos de seguridad
En los SOC comúnmente los operadores realizan monitoreo, detección, prevención e investigación. Utilizan muchas herramientas de manera interconectada y tienen que cuidar los servicios de todos los puntos de interconexión. En la parte forense también invierten mucho tiempo.
“Nosotros queremos aportar en esa operación. En nuestra investigación, 60% de los operadores sufren un desgaste exhaustivo, y 65% de los encuestados están pensando cambiarse de compañía o a otro rol por la carga de trabajo. Eso impacta la rotación de personal, además de que es difícil encontrar gente especializada”, comentó Sánchez.
De ahí que Infoblox aplique AI, para que las cargas las realice la herramienta. De un millón de alertas que se registran como falsos positivos, la firma de ciberseguridad afirma que SOC Insights es capaz de discriminar las alertas y las disminuye a tan solo 24.
“Cuando llega el operador, el trabajo de discriminación ya está hecho, e incoporamos chatbots para instruir al operador sobre cómo resolver esa situación”, abundó el ejecutivo.
Ayudar a operadores, no eliminarlos
Para Sánchez, el propósito de la compañía es eficientar la operación de los SOC, que actualmente es compleja y extenuante. Pero el propósito no es eliminar el elemento humano, sino ayudar a los operadores a ser más eficientes al eliminar los procesos manuales.
Hay dos procesos básicos en los que aporta valor la herramienta, que son el aprendizaje automático para evitar el ransomware a través de reputación y comportamiento, y la AI, que sustituye las tareas repetitivas que hacen los operadores, como mirar las alertas que intentan hacer comando y control, y decide cuál es a la que va a dar prioridad.
Esto último es parte de la labor de SOC Insights, que le dirá al empleado qué es crítico y qué no es crítico, pero no sustituye las decisiones humanas.
“De los encuestados, 55% mencionó que todos los días pasan por alto alertas críticas. La idea es ayudar a esa carga de trabajo de discriminación y al mismo tiempo evitar que se salten las alertas, dejándolo en manos de la AI”, acotó Sánchez.
Ecosistemas de ciberseguridad
SOC Insights será un add on del BloxOneThread Defense. El precio dependerá de las alertas por usuario, pero se cotiza caso por caso. Iván Sánchez aclaró que se toma en cuenta el retorno de inversión.
“En un SOC no hay una sola plataforma. También tendremos un costo beneficio a nivel de arquitectura. Vamos a poder suministrar ecosistemas entre esos elementos para aprovechar mejor las inversiones ya hechas. Nosotros no hablamos de integración sino de ecosistemas de ciberseguridad. Ahí aplica la automatización”, detalló.
Según el entrevistado, adicionan la capacidad de hacer ecosistemas con los elementos que ya hay en el SOC porque ya tiene los API armados. “Es una configuración simple a partir de BloxOne, porque ya está todo armado”, indicó.
En resumen, SOC Insights va más allá de los simples paneles de control basados en el riesgo de malware: permite a los equipos de ciberseguridad reducir el tiempo medio de respuesta (MTTR) al eliminar el tiempo perdido y consolidar las alertas individuales en información única.
Cada una de estas proporciona fácil acceso a los detalles de la infraestructura del atacante, el evento y el dispositivo, así como los datos de inteligencia DNS exclusivos de Infoblox.
Esto elimina la necesidad de que los equipos de SecOps dediquen tiempo a rastrear cada alerta individual o a esperar en NetOps la información del usuario y del dispositivo para obtener el contexto en torno a la actividad de amenazas.
Sánchez agregó que hay herramientas que se interconectan a través de API.
