Así como los triatletas saben que el rendimiento mayor requiere más que un equipo costoso, los equipos de ciberseguridad están descubriendo que el éxito de la IA depende menos de las herramientas que implementan y más de los datos que los impulsa
El problema de la comida chatarra en ciberseguridad
Imagine a un triatleta que no ahorra gastos en el equipo (bicicletas de fibra de carbono, trajes de neopreno hidrodinámicos, relojes GPS de precisión), pero alimenta su entrenamiento con bocadillos procesados y bebidas energéticas. A pesar del equipo premium, su desempeño sufrirá porque su fundación es fundamentalmente defectuosa. Los triatletas ven la sustento como la cuarta disciplina de su entrenamiento que puede tener un impacto significativo en el rendimiento e incluso puede determinar los resultados raciales.
Los Centros de Operaciones de Seguridad de hoy (SOCS) enfrentan un problema similar. Están invirtiendo fuertemente en sistemas de detección con IA, plataformas de respuesta automatizadas y estudio de formación maquinal, el equivalente a los equipos de triatlón de nivel profesional. Pero están alimentando estas herramientas sofisticadas con alimentos de datos heredados que carecen de la riqueza y el contexto que los modelos modernos deben funcionar de guisa efectiva.
Así como un triatleta necesita dominar la buceo, el ciclismo y el funcionamiento de la coordinación perfecta, los equipos de SOC deben sobresalir en la detección, la investigación y la respuesta. Sin retención, sin su propia “cuarta disciplina”, los analistas de SOC trabajarán con registros de puntos finales escasos, corrientes de alerta fragmentadas y silos de datos que no se comunican, es como tratar de completar un triatlón alimentado solo por una bolsa de papas fritas y una cerveza, no importa cuán bueno sea su entrenamiento o equipo, no está cruzando la segmento de terminado primero. Si aceptablemente puede cargar el azúcar y las calorías el día de la carrera para cerciorarse de que tiene la energía para superarlo, eso no es un régimen sostenible a holgado plazo que optimice su cuerpo para el mejor rendimiento.
El costo oculto de las dietas de datos heredados
“Estamos viviendo la primera ola de una revolución de IA, y hasta ahora el centro de atención se ha centrado en modelos y aplicaciones”, dijo Greg Bell, director de organización de Corelight. “Eso tiene sentido, porque los impactos para la defensa cibernética serán enormes. Pero creo que está comenzando a darse cuenta de que las herramientas de ML y Genai están cerradas por la calidad de los datos que consumen”.
Esta desconexión entre las capacidades de IA avanzadas y la infraestructura de datos obsoletas crea lo que los profesionales de la seguridad ahora llaman “deuda de datos”, el costo acumulado de construir sistemas de IA en bases que no estaban diseñadas para el consumo de formación maquinal.
Los datos de seguridad tradicionales a menudo se asemejan al diario de entrenamiento de un triatleta ahíto de entradas incompletas: “Corrí hoy. Me sentí aceptablemente”. Proporciona información básica, pero carece de las métricas granulares, el contexto ambiental y las correlaciones de rendimiento que permiten una mejoría genuina. Los alimentos de datos heredados generalmente incluyen:
- Registros de punto final escasos que capturan eventos pero pierden el contexto de comportamiento
- Feeds de alerta que te dice que sucedió poco pero no la historia completa
- Fuentes de datos aisladas que no se pueden correlacionar entre sistemas o períodos de tiempo
- Indicadores reactivos que solo se activa a posteriori del daño ya se realiza sin perspectivas históricas
- Formatos no estructurados que requieren un procesamiento extenso ayer de que los modelos de IA puedan analizarlos
El adversario ya está mejorado por el rendimiento
Mientras que los defensores luchan con datos que son nutricionalmente deficientes para el consumo de IA, los atacantes han optimizado su enfoque con la disciplina de los atletas de élite. Están aprovechando la IA para crear estrategias de ataque adaptativas que son más rápidas, más baratas y más precisas que nunca ayer por:
- Automatización de registro y explotar el explicación para acelerar la velocidad de ataque
- Reduciendo el costo por ataqueaumento del bombeo de amenazas potenciales aster
- Enfoques de personalización Basado en la inteligencia recolectada de IA para entregar ataques más específicos
- Generando iteración más rápida y mejoría de tácticas basadas en lo que funciona
Mientras tanto, muchos SOC todavía están tratando de defenderse de estas amenazas mejoradas con AI utilizando datos equivalentes a un régimen de capacitación de los 1990, con solo información básica de frecuencia cardíaca, cuando la competencia está utilizando estudio de rendimiento integrales, sensores ambientales y modelado predictivo.
Esto crea una brecha de rendimiento creciente. A medida que los atacantes se vuelven más sofisticados en su uso de IA, la calidad de los datos defensivos se vuelve cada vez más crítica. Los datos deficientes no solo disminuyen la detección, sino que socava activamente la efectividad de las herramientas de seguridad de IA, creando puntos ciegos que los adversarios sofisticados pueden explotar.
Datos listos para la AI: la mejoría del rendimiento que los SOC necesitan
La opción radica en reinventar fundamentalmente la edificio de datos de seguridad en torno a lo que los modelos de IA en realidad necesitan realizar de guisa efectiva. Esto significa la transición de los datos de los datos heredados a los datos “listos para la AI”: información estructurada, enriquecida y optimizada específicamente para el estudio y la automatización de la IA.
Los datos listos para AI comparte características con las métricas de rendimiento integrales que los triatletas de élite usan para optimizar su entrenamiento. Así como estos atletas rastrean todo, desde potencia de salida y cadencia hasta condiciones ambientales y marcadores de recuperación, los datos de seguridad listos para AI capturan no solo lo que sucedió, sino el contexto completo que rodea cada evento.
Esto incluye la telemetría de la red que proporciona visibilidad ayer de que el oculto oscurece la evidencia, los metadatos integrales que revelan patrones de comportamiento y formatos estructurados que los modelos de IA pueden procesar inmediatamente sin un preprocesamiento extenso. Sus datos que se han diseñado específicamente para avituallar los tres componentes críticos de las operaciones de seguridad con IA.
Detección de amenazas impulsada por la IA Se vuelve dramáticamente más efectivo cuando se alimenta con evidencia de red de nivel forense que incluye contexto completo y monasterio en tiempo auténtico en entornos locales, híbridos y de múltiples nubes. Esto permite a los modelos AI identificar patrones y anomalías sutiles que serían invisibles en los formatos de registro tradicionales.
Flujos de trabajo de IA Transforme la experiencia de los analistas proporcionando procesos de autorización de expertos mejorados con estudio de carga útil impulsado por la IA, contexto histórico y resúmenes a nivel de sesión. Esto es equivalente a tener un monitor de clase mundial que pueda analizar instantáneamente los datos de rendimiento y proporcionar una faro específica y procesable para la mejoría.
Integraciones del ecosistema autorizado para AI Asegúrese de que los datos listos para la AI fluyan perfectamente en las herramientas SOC existentes (SIEM, plataformas SOAR, sistemas XDR y lagos de datos) sin requerir integraciones personalizadas o conversiones de formato. Es automáticamente compatible con casi todas las herramientas en el astillero de un analista.
El impresión compuesto de datos superiores
El impacto de la transición a datos listos para AI crea un impresión compuesto en las operaciones de seguridad. Los equipos pueden correlacionar los patrones de paso inusuales y las escaladas de privilegio en entornos de nubarrón efímeros, crítico para encarar las amenazas nativas de la nubarrón que las herramientas tradicionales pierden. Obtienen una cobertura ampliada para amenazas novedosas, evasivas y de día cero, al tiempo que permiten un explicación más rápido de nuevas detecciones.
Quizás lo más importante es que los analistas pueden comprender rápidamente las líneas de tiempo de los incidentes sin analizar los registros sin procesar, obtener resúmenes en el jerga simple de comportamientos sospechosos en los anfitriones y sesiones, y centrar su atención en alertas prioritarias con justificaciones claras de por qué cada incidente es importante.
“Los datos de inscripción calidad y ricos en contexto son la IA de ‘Clean Fuel’ que necesita para alcanzar su mayor potencial”, agregó Bell. “Los modelos muertos de datos de calidad inevitablemente decepcionarán. A medida que el aumento de IA se convierte en el tipificado tanto para el ataque como para la defensa, las organizaciones que tienen éxito serán las que entiendan una verdad fundamental: en el mundo de la seguridad de la IA, usted es lo que come”.
La valentía de capacitación que cada soc debe tomar
A medida que la IA se convierte en tipificado tanto para el ataque como para la defensa, las herramientas de seguridad impulsadas por la IA no pueden alcanzar su potencial sin los datos correctos. Las organizaciones que continúan alimentando estos sistemas con datos heredados pueden encontrar su importante inversión en tecnología de próxima gestación de bajo rendimiento contra amenazas cada vez más avanzadas. Aquellos que reconocen esto no se tráfico de reemplazar las inversiones de seguridad existentes, se tráfico de proporcionarles el combustible de inscripción calidad para cumplir su promesa, se posicionarán para desbloquear la preeminencia competitiva de AI.
En la creciente batalla contra las amenazas mejoradas con AI, el rendimiento mayor en realidad comienza con lo que alimentas a tu motor.
Para obtener más información sobre los modelos de datos de seguridad tipificado de la industria en los que todos los LLM principales ya han sido capacitados, visite www.corelight.com. CoreLight ofrece telemetría de nivel forense a los flujos de trabajo de Power SOC, la detección de impulso y habilita el ecosistema SOC más amplio.
