phonlamaiphoto - stock.adobe.com

Seis casos de uso de seguridad AIOps para proteger la nube

Explore seis casos de uso de seguridad AIOps en entornos de nube, como el análisis de inteligencia de amenazas y la detección de malware, y lea consejos de expertos sobre consideraciones de implementación.

Se espera que la implementación empresarial de AIOps, abreviatura de inteligencia artificial para operaciones de TI, alcance el 30% para 2023, según Gartner. A medida que la adopción de la nube también aumenta, ahora es un buen momento para aprender más sobre esta tecnología de monitoreo avanzada y cómo puede optimizar las operaciones de seguridad en la nube.

AIOps implementa el monitoreo y análisis de datos a gran escala para mejorar la eficiencia en las alertas y la identificación contextual de problemas en el entorno de TI, junto con el análisis de tendencias de comportamiento y la corrección automatizada en algunos casos.

AIOps a menudo incluye las siguientes características:

  • diversos conjuntos de datos;
  • una plataforma de big data a gran escala para agregar datos e información de eventos;
  • algoritmos de aprendizaje automático y procesamiento analítico;
  • API y capacidades de automatización;
  • informes granulares.

Cómo los casos de uso de AIOps pueden optimizar las operaciones de seguridad en la nube

La combinación de AIOps de big data y aprendizaje automático para la automatización puede afectar las operaciones de seguridad en la nube de innumerables formas. Tenga en cuenta que los casos de uso de seguridad de AIOps para la nube pueden requerir condiciones previas específicas, así como inversiones en presupuesto, arquitectura y habilidades para tener éxito.

Aquí, explore seis de los casos de uso de AIOps más viables para optimizar las operaciones y la seguridad de la nube, con consejos sobre los criterios de implementación.

  1. Análisis de inteligencia sobre amenazas

La inteligencia de amenazas proporciona una perspectiva sobre las fuentes de los atacantes, indicadores de compromiso y tendencias de comportamiento relacionadas con el uso de cuentas en la nube, así como ataques contra varios servicios en la nube. Los feeds de inteligencia de amenazas se pueden agregar y analizar a escala utilizando motores de aprendizaje automático en la nube y procesarse para modelos de predictibilidad. Con una amplia variedad de datos operativos de TI en uso dentro de AIOps, así como inteligencia adicional sobre amenazas de proveedores externos, los equipos de operaciones de seguridad podrían potencialmente predecir o ayudar a eludir los ataques a la infraestructura de la nube, en particular el secuestro de cuentas.

Este caso de uso de seguridad AIOps requeriría el desarrollo de patrones de inteligencia de amenazas y habilidades de análisis de datos, así como la integración con fuentes de datos de inteligencia de amenazas de terceros.

  1. Gestión de eventos de seguridad

Los datos de registro y otros eventos se producen en cantidades enormes. Los equipos de seguridad necesitan reconocer rápidamente indicadores específicos, identificar patrones de eventos y detectar eventos en los entornos de nube donde ocurren los eventos. Las capacidades de aprendizaje automático e inteligencia artificial de AIOps pueden aumentar la tecnología de procesamiento de datos de eventos masivos para construir más tácticas de detección y alerta de inteligencia.

Se necesitará personal dedicado para construir reglas de correlación y análisis sobre los datos. Crear un equipo capacitado capaz de automatizar la gestión de eventos de seguridad puede llevar mucho tiempo y resultar difícil debido a la escasez de talento de la industria.

  1. Modelado del comportamiento de terminales y redes

Modelar las comunicaciones y los patrones de comportamiento de los puntos finales podría resultar útil para detectar indicadores sutiles de compromiso o ataque, idealmente antes de que se produzca un acceso o una infracción de datos importantes. El modelado de flujo de red también es un prometedor caso de uso de AIOps para la seguridad en la nube. Hay cantidades masivas de tráfico entre los sistemas y los servicios de backplane del proveedor de la nube que deben desarrollarse en líneas de base normales para el monitoreo.

El modelado del comportamiento de endpoints y redes requiere mucho tiempo. También requiere la participación de una amplia gama de conjuntos de habilidades de operaciones de TI, incluida la administración de terminales, expertos en la materia del sistema operativo, ingenieros de redes y equipos de seguridad. La construcción de modelos de comportamiento con estos conjuntos de datos y algoritmos también puede ser costosa, por lo que es posible que se requieran impulsores comerciales adecuados.

  1. Detección de fraudes

Para las empresas de servicios financieros y las aseguradoras, la detección de fraudes requiere una enorme cantidad de entradas y tipos de datos, así como muchos tipos intensivos de procesamiento. La minería de texto, las búsquedas en bases de datos, el análisis de redes sociales y la detección de anomalías se combinan con modelos predictivos a escala para detectar el fraude. Cloud AIOps podría ayudar enormemente con esto. Este caso de uso de seguridad de AIOps podría extenderse al uso fraudulento de servicios en la nube, por ejemplo, un ataque de phishing basado en Microsoft 365 desde una cuenta secuestrada.

Además de las habilidades técnicas mencionadas en otros casos de uso de seguridad de AIOps, esto requiere una mayor comprensión de la lógica empresarial y podría ser muy complejo de construir.

  1. Detección de software malintencionado

El procesamiento de eventos a gran escala de datos y atributos de archivos podría beneficiar la detección de ransomware y malware, particularmente de variantes sin firmas conocidas. Las empresas líderes en detección y respuesta de endpoints utilizan tecnología en la nube, aprendizaje automático e inteligencia artificial para exactamente este propósito. Sin embargo, también hay motivos para que los motores de procesamiento de sandbox internos utilicen IA en la nube.

Tenga en cuenta que cualquier detección de malware personalizada requerirá profesionales de la seguridad con habilidades altamente especializadas.

  1. Clasificación y seguimiento de datos

Según los tipos y patrones de contenido conocidos, los motores de análisis AIOps procesan todos los datos cargados y creados en el entorno para clasificar y etiquetar según políticas predefinidas y luego monitorear el acceso.

El monitoreo específico de datos requiere la aceptación de la seguridad cibernética por parte de las unidades comerciales. También depende de los equipos de operaciones para manejar varios formatos y tipos de datos, así como de los equipos de seguridad y riesgo para etiquetar y rastrear tipos o patrones de datos.

Consideraciones finales

Los AIOps se alinearán naturalmente con los casos de uso específicos de seguridad. Sin embargo, existen obstáculos potenciales a considerar para el éxito de las AIOps en la nube. Estos incluyen desafíos en la obtención de habilidades de seguridad específicas de la nube, costos de importación y exportación de datos y alineación con los casos de uso de operaciones de TI y negocios internos.

Actualmente, la mayoría de los análisis de inteligencia artificial o aprendizaje automático relacionados con la seguridad están separados de cualquier herramienta, plataforma o proveedor de operaciones de TI. La integración de las operaciones de TI y la seguridad también requerirá cierto esfuerzo.

Investigue más sobre Análisis de negocios y BI