BLOG

Threat Stack incorpora aprendizaje supervisado avanzado a ThreatML™ para una detección exhaustiva.

Miniatura de John Pinkham
Juan Pinkham
Publicado el 7 de junio de 2022

Threat Stack ahora es F5 Distributed Cloud App Infrastructure Protection (AIP). Comience a utilizar Distributed Cloud AIP con su equipo hoy mismo .

Porque la detección de anomalías ya no es suficiente para la seguridad nativa de la nube

Hasta ahora, las organizaciones que protegían la infraestructura nativa de la nube tenían que confiar en la detección de anomalías. Incluso la promesa de este tipo de aprendizaje automático se vio limitada por dificultades técnicas y la falta de datos, lo que impidió la detección de amenazas en profundidad.

Ya no.

La última versión de ThreatML de Threat Stack ahora está impulsada por aprendizaje automático supervisado. Disponible para los clientes de Threat Stack, ThreatML ahora va más allá de la simple detección de anomalías, que es el estándar actual de la industria. ThreatML ofrece una detección de amenazas altamente eficaz y muy específica basada en comportamientos para un enfoque de detección en profundidad que combina el sofisticado conjunto de reglas de Threat Stack con aprendizaje automático supervisado.

Más allá del estado actual de detección de intrusiones y amenazas

Los equipos de DevSecOps y otros grupos de seguridad se ven continuamente limitados a la hora de ejecutar correctamente las operaciones de seguridad. Según un estudio reciente de más de 200 directores y gerentes de equipos de DevSecOps, CISO (directores de seguridad de la información), ingenieros y arquitectos de seguridad en la nube, y otros, los equipos de seguridad en la nube se enfrentan rutinariamente a:

  • Problemas de personal / falta de mano de obra
  • Presupuestos pequeños
  • Percepción de “ningún valor añadido” por parte de los líderes de nivel C
  • Demandas de tiempo y recursos
  • Demasiadas prioridades diarias que compiten entre sí
  • Presión para lograr eficiencia operativa

Además, amenazas cada vez más sofisticadas están creando amenazas y vulnerabilidades en constante evolución que los equipos de seguridad deben controlar.

La mayoría de los proveedores de seguridad en la nube buscan ofrecer una combinación de seguridad en la nube y eficiencia operativa, por lo que intentan resolver estos problemas ofreciendo detección y generación de informes de anomalías. Es decir, desarrollan programas y soluciones que se centran en encontrar y reportar elementos que parecen ser diferentes a lo que históricamente ha sido el comportamiento base de una organización.

¿Por qué?Muy simple: Las herramientas y soluciones que solo detectan anomalías o aquello que es diferente del comportamiento normal no requieren mucho ajuste, capacitación, clasificación ni revisión de alertas. Esto proporciona a los clientes un método de detección de intrusiones necesario que alivia la presión sobre la ejecución de las operaciones de seguridad diarias. De hecho, algunas empresas se jactan de proporcionar “sólo un par” de informes de detección de anomalías al día. Como hemos escrito en el pasado, tener un límite artificial en la cantidad de alertas generadas no es una buena métrica y, de hecho, puede ser peligroso para la seguridad nativa de la nube de una organización. Con la detección de anomalías, las organizaciones siempre deben preguntarse: ¿Qué amenazas y alertas de intrusión podemos permitirnos pasar por alto?

Tener un solo método de detección como éste, por sí solo, es insuficiente.

Hay un par de razones por las que la detección de anomalías no es suficiente para proteger los entornos de nube:

  1. Un comportamiento anormal, anómalo o atípico respecto de una línea base típica no siempre es una amenaza. Alertar sobre este tipo de comportamiento puede crear un falso positivo.
  2. Un comportamiento que parece normal no significa necesariamente que sea bueno. Ignorar ciertos comportamientos sólo porque las reglas los consideran normales genera falsos negativos.

Las herramientas que solo ofrecen un método de detección, como la detección de anomalías, pasan por alto comportamientos críticos que indican amenazas reales. Estos sistemas están diseñados para mostrar únicamente lo que parece diferente. En resumen, el uso de la detección de anomalías por sí solo sacrifica la seguridad en beneficio de la eficiencia operativa.

Cómo Threat Stack expandió ThreatML basándose en los comentarios de los clientes

A medida que los equipos de ingeniería de Threat Stack hablaban con los clientes, se hizo cada vez más evidente: DevSecOps y otros equipos de seguridad en la nube necesitan una herramienta de seguridad en la nube sólida e innovadora que proporcione varias soluciones. Debe:

  1. Proporcionar una cobertura integral de las amenazas de seguridad conocidas y desconocidas;
  2. Eliminar falsos negativos;
  3. Reconocer y abordar los falsos positivos
  4. Mantenga bajas las restricciones operativas
  5. Limitar los hallazgos a amenazas reales y procesables
  6. Crea filtros y modelos que no pasen por alto comportamientos críticos
  7. Sea fácil de implementar, administrar y ejecutar diariamente.

Más allá de la simple detección de anomalías: detección de amenazas en profundidad

Para satisfacer estas necesidades de los clientes, Threat Stack buscó crear un enfoque de detección en profundidad que pudiera descubrir amenazas conocidas y desconocidas, al tiempo que eliminaba los falsos negativos. El objetivo era avanzar más allá de la detección de anomalías y proporcionar una mejor imagen del entorno del cliente.

¿La solución? La versión avanzada de ThreatML, que utiliza aprendizaje supervisado para brindar una detección de amenazas de alta eficacia en los comportamientos a través de un enfoque de detección en profundidad. El novedoso uso que Threat Stack hace del aprendizaje supervisado para la seguridad en la nube permite a los equipos de seguridad mantener seguros los datos de su organización y, al mismo tiempo, brindar eficiencia operativa.

ThreatML con aprendizaje supervisado: Aprendizaje automático bien hecho

Una de las principales razones por las que los proveedores no aprovechan el aprendizaje supervisado es que su uso requiere etiquetar miles de millones de eventos diariamente para entrenar los algoritmos. En otras palabras, el aprendizaje supervisado necesita datos, muchos datos, y esos datos deben estar clasificados. Y clasificar datos puede ser una actividad extremadamente laboriosa, que requiere muchos ingenieros de datos.

ThreatML adopta un enfoque novedoso para el aprendizaje supervisado al utilizar el extenso motor de reglas de Threat Stack para clasificar y etiquetar más de 60 mil millones de piezas de datos al día, en tiempo real. Este tipo de datos etiquetados a escala es un requisito para aprovechar plenamente el potencial del aprendizaje supervisado.

Una vez que un comportamiento pasa por el motor de reglas, se puede analizar. Threat Stack creó un motor de inferencia que utiliza datos etiquetados y clasificados para realizar predicciones sobre el comportamiento. El motor de inferencia determina si el comportamiento es predecible basándose en datos de eventos circundantes. El comportamiento impredecible representa una amenaza de alta prioridad, que se le muestra al cliente como una alerta.

Agregar aprendizaje supervisado a nuestro motor de reglas brinda a los clientes de Threat Stack múltiples métodos de detección para detectar amenazas a su entorno de nube. Permite a las organizaciones responder a la pregunta: “Dado el comportamiento histórico en esta carga de trabajo, ¿era este comportamiento predecible o no?” Los comportamientos predecibles pueden ignorarse con seguridad, mientras que los comportamientos impredecibles representan amenazas reales y procesables.

Como resultado, ThreatML permite a los clientes centrarse únicamente en las amenazas de mayor prioridad para su entorno. Esto limita la fatiga de alerta y utiliza menos recursos. El enfoque de aprendizaje supervisado se basa en reglas para entrenar modelos de forma automática y continua, lo que ofrece a los clientes una forma sencilla de obtener una detección de amenazas de alta eficacia. Es similar a las promesas de detección de anomalías en la eficiencia operativa, pero el método de aprendizaje supervisado no corre el riesgo de pasar por alto las amenazas de mayor prioridad para el entorno de una organización.

Para analizar cómo el nuevo ThreatML con aprendizaje supervisado de Threat Stack puede ayudar a las operaciones diarias de seguridad en la nube de su organización, contáctenos hoy.

Threat Stack ahora es F5 Distributed Cloud App Infrastructure Protection (AIP). Comience a utilizar Distributed Cloud AIP con su equipo hoy mismo .