El tiempo medio de detección es un problema de acceso a datos

CASO DE USO
Eficiencia del SOC e Inteligencia de Investigación de Incidentes

Las operaciones de seguridad han mejorado sus métricas en la última década. MTTD, MTTR, tasas de falsos positivos, utilización de analistas: el rendimiento operativo de los centros de operaciones de seguridad se mide ahora con el rigor de cualquier otra función empresarial. Y cuando esas métricas se analizan, surge un patrón consistente: una cantidad desproporcionada de tiempo del analista se dedica al ensamblaje de datos en lugar del análisis.

Un analista que investiga una alerta sospechosa necesita extraer datos de registro de múltiples fuentes, cotejar registros de identidad de usuarios, verificar información de activos de los sistemas involucrados, revisar alertas anteriores sobre entidades relacionadas y correlacionar datos de línea de tiempo entre fuentes. Cada una de esas extracciones de datos requiere una consulta diferente, un sistema diferente y una sintaxis diferente.

Por qué el tiempo medio de detección se estanca en la mayoría de los SOC

Los líderes de operaciones de seguridad han invertido en plataformas SIEM, automatización SOAR e integración de inteligencia de amenazas para abordar este problema. Esas inversiones han supuesto mejoras reales. Lo que no han resuelto es el problema fundamental de la fragmentación de datos: cuando la versión autorizada de una pregunta relevante para la investigación requiere unir datos de sistemas que no fueron diseñados para comunicarse entre sí, el analista se convierte en la capa de integración.

Un analista de Nivel 2 que puede hacer cualquier pregunta sobre un incidente y obtener la respuesta en segundos está realizando cinco veces más análisis que un analista que tiene que consultar tres sistemas para obtener cada pieza del rompecabezas.

Genie y Lakewatch para la Investigación de SOC

Genie actúa como la interfaz agentiva dentro de Lakewatch, aprovechando el razonamiento avanzado de los modelos Claude de Anthropic para ofrecer operaciones de seguridad agentivas. Al integrar las capacidades de razonamiento de Claude, Lakewatch puede correlacionar señales complejas entre datos de seguridad, TI y de negocio en segundos. Esto permite a los analistas desplegar agentes de seguridad defensivos que no solo buscan datos, sino que comprenden el contexto de la investigación para detectar amenazas de alta fidelidad más rápido que los flujos de trabajo manuales.

Genie actúa como la interfaz agentiva dentro de Lakewatch, permitiendo a los analistas pasar de tener el control humano a estar al mando. En lugar de escribir SQL complejo o aprender lenguajes de búsqueda propietarios, los analistas utilizan Genie para orquestar agentes autónomos que pueden buscar, resumir y cotejar petabytes de datos en segundos.

Genie permite a los equipos de operaciones de seguridad hacer preguntas de investigación en lenguaje natural en todo su entorno de datos de seguridad. Un analista puede preguntar: 'Muéstrame todos los eventos de autenticación del usuario X en los últimos 7 días, los sistemas a los que accedió, cualquier evento de acceso a archivos asociado en almacenes de datos sensibles y cualquier alerta relacionada de nuestro EDR'. Esa síntesis de investigación aparece en una única respuesta conversacional.

Las matemáticas del MTTD: De 200 días a minutos

Reducir el MTTD no es solo un objetivo; es un requisito de supervivencia. Como destacó Ali Ghodsi, cofundador y CEO de Databricks, durante su presentación principal en RSA, estamos presenciando un cambio secular masivo en el panorama de las amenazas. El Zero Day Clock muestra que en 2018, el tiempo promedio desde la CVE hasta la explotación armada era de más de dos años. Hoy, esa ventana se ha reducido a solo 1,3 días.

Esta ventana de explotación de 1,3 días es el 'punto muerto arquitectónico' para los SIEM heredados. Si bien los datos recientes sugieren que el tiempo medio de detección de brechas se ha comprimido drásticamente, esa media a menudo oculta una 'larga cola' de amenazas sofisticadas que permanecen sin detectar durante meses debido a lagunas de visibilidad. Los humanos solos no pueden seguir el ritmo de esta velocidad de armamento. Nos enfrentamos a enjambres de agentes de IA que atacan en cualquier lugar, mientras que los defensores todavía están limitados por flujos de trabajo manuales y el 'impuesto de seguridad' que les obliga a descartar hasta el 75% de sus datos.

Para luchar contra un enjambre, necesitas un enjambre. Lakewatch y Genie representan un cambio fundamental. Lakewatch despliega enjambres de agentes defensivos que automatizan la detección, el triaje y la investigación de forma nativa donde residen sus datos. Pasamos del triaje a velocidad humana a la defensa a velocidad de máquina, posicionando al defensor al mando para orquestar la defensa autónoma en toda la empresa.

DATABRICKS GENIE · DIFERENCIADORES CLAVE
Construido para sus datos, gobernado por sus reglas, respondible ante cualquier líder empresarial.

• Lago de datos de seguridad unificado: Toda la telemetría de seguridad en un solo lugar: datos SIEM, EDR, NDR, IAM, CSPM en un único entorno de consulta.
• Reconstrucción de línea de tiempo: Genie puede ensamblar líneas de tiempo de eventos cronológicos entre fuentes de datos, reduciendo el trabajo manual de reconstrucción de incidentes.
• Contexto de entidad: El contexto del usuario, dispositivo y aplicación siempre está disponible junto con los datos del evento: las investigaciones obtienen contexto enriquecido automáticamente.
• Controles de acceso a nivel de analista: Los analistas junior y senior acceden a los datos apropiados para su función: la capacidad de investigación escala con la gobernanza adecuada.

Vea lo que Genie puede hacer por su equipo

Databricks Genie está disponible hoy. Vea cómo sus compañeros de industria lo están utilizando para reimaginar cómo acceden y actúan sobre sus datos.

(Esta entrada del blog ha sido traducida utilizando herramientas basadas en inteligencia artificial) Publicación original