IA para reducir los falsos positivos en el Centro de Operaciones de Seguridad

  • Actualidad
inteligencia artificial

Con el uso de la herramienta Autoanalyst basada en inteligencia artificial, Kaspersky logró reducir en 2023 una media del 30% los falsos positivos que llegaban a sus analistas, lo que les permitió centrarse en los incidentes más complejos y críticos y mejoró la eficiencia general de su SOC.

La automatización de procesos con el respaldo de la inteligencia artificial, el machine learning y el deep learning puede agilizar considerablemente un entorno tan intenso como un Centro de Operaciones de Seguridad (SOC). Es el caso del SOC de Kaspersky, que ha evaluado el uso de estas tecnologías a lo largo de todo el 2023 para reducir el gran volumen de falsos positivos que manejan.

La compañía explica que en el 2023 su SOC procesó 431.512 alertas de seguridad. De todas ellas, 32.294 fueron clasificadas y se tradujeron en 14.160 incidentes que fueron reportados a sus clientes. El Autoanalyst basado en inteligencia artificial que Kaspersky utiliza en su MDR fue capaz de procesar en torno al 30% de los falsos positivos. En la estimación de la compañía, esto redujo la carga de trabajo de su equipo en un 25%.

Autoanalyst utiliza un modelo de machine learning supervisado capaz de aprender de las alertas que procesa el SOC e intenta replicar su comportamiento de forma independiente. Con ello Kaspersky intenta mejorar la eficiencia de la clasificación y filtrar los falsos positivos en el flujo de trabajo de alertas. Para minimizar la posibilidad de que se pierdan incidentes reales, incorporan un gran número de reglas de detección.

Pese a ello, hay un margen de error, que aumenta a medida que crece la tasa de filtrado de Autoanalyst. En este sentido, Sergey Soldatov, jefe del Centro de Operaciones de Seguridad en Kaspersky, explica que “la calidad del trabajo del Autoanalyst se monitoriza dinámicamente y su porcentaje de filtrado de alertas se ajusta en consecuencia. Este modelo de ML parece haber aprendido de los analistas de SOC no sólo a reconocer los falsos positivos, sino también a "cansarse" y a estar "sobrecargado de trabajo", lo que lleva a una degradación en la calidad. Este problema se aborda mediante el reentrenamiento constante del modelo si su tasa de error de clasificación de falsos positivos supera el 2%“.