[11/08/2022] El proveedor de ciberseguridad CrowdStrike ha añadido una nueva funcionalidad de indicadores de ataque (IoA) potenciados por la IA a su plataforma Falcon. Anunciada en la Conferencia Black Hat USA 2022, la mejora aprovecha las técnicas de IA para crear nuevos IoA a velocidad y escala de máquina para ayudar a las organizaciones a detener las técnicas de ataque emergentes y permitirles optimizar la detección y la respuesta, señaló la firma.
IoAs de IA entrenadas en el comportamiento de los adversarios del mundo real
En un comunicado de prensa, CrowdStrike declaró que Falcon ahora permite a las organizaciones encontrar técnicas de ataque emergentes con IoAs creadas por modelos de IA entrenados en el comportamiento del adversario en el mundo real y una rica inteligencia de amenazas. Brian Trombley, vicepresidente de gestión de productos de seguridad de puntos finales en CrowdStrike, señaló que los IoAs impulsados por la IA aprovechan la inteligencia de CrowdStrike Security Cloud, donde la firma recoge más de un billón de eventos de seguridad al día de su base de clientes.
"Correlacionamos esta telemetría utilizando el aprendizaje automático para crear nuevos IoAs", añadió Trombley. "Los expertos en amenazas humanas crean entonces un corpus de comportamientos que van de cientos de miles a millones de ejemplos de actividad limpia y maliciosa, antes de que los científicos de datos comiencen el proceso de convertir la telemetría en un modelo de IA o ML que impulsa la creación de nuevos IoAs. Todos los IoA, incluidos los impulsados por la IA, se entregan al agente Falcon de la misma manera, trabajando junto a nuestros modelos ML de sensores. La tecnología de IoAs potenciada por IA es altamente flexible y puede utilizarse para modelar cualquier dato de evento capturado por la plataforma CrowdStrike Falcon".
IoAs potenciados por la IA probados contra una rica telemetría de campo
Los modelos de CrowdStrike se calibran frente a un conjunto cada vez más amplio de datos reales generados por expertos que se agregan a la plataforma Falcon, abarcando la inteligencia de CrowdStrike Managed Threat Hunting (Falcon OverWatch), Malware Research Center (MRC) y Managed Detection and Response (Falcon Complete), explicó Trombley. "Para probar la precisión de los IoAs potenciados por la IA, los cazadores de amenazas e investigadores de CrowdStrike evalúan los modelos contra esta rica telemetría de campo y cadenas de muerte específicamente elaboradas".
Esto asegura que los modelos son resistentes a los ataques de ML adversarios, pueden detectar tácticas, técnicas y procedimientos maliciosos (TTP), y generan bajas detecciones de falsos positivos contra los datos de los clientes del mundo real, anotó Trombley. "Además, antes de habilitar las detecciones en vivo, con el fin de minimizar la exposición del cliente a los falsos positivos, los modelos se ejecutan en silencio para permitir que los expertos en la materia evalúen meticulosamente las detecciones y se ajusten para obtener el mejor rendimiento en el campo".
CrowdStrike se esfuerza por minimizar los falsos positivos y los falsos negativos, ya que dejan a los equipos de seguridad luchando por cribar aún más ruido en lugar de detener las brechas, sostuvo Trombley. "Usamos esta misma capacidad de prueba para probar y ajustar nuestros IoAs potenciados por la IA. Durante nuestras pruebas, identificamos más de 20 nuevos patrones de adversarios, que fueron confirmados por los cazadores de amenazas de élite de Falcon OverWatch. Durante el mismo período, nuestros nuevos modelos identificaron colectivamente menos de diez falsos positivos y han continuado funcionando a este nivel de fidelidad desde que pasaron a la disponibilidad general".
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú