Garantizar la seguridad de una organización ya no consiste solo en establecer un perímetro y blindarlo. Los desafíos se han vuelto mucho más amplios y el número de ciberamenazas es tal que la defensa sería imposible sin la ayuda de la inteligencia artificial (IA), machine learning y las tecnologías de automatización.
El nuevo contexto de empresa hiperconectada ha roto los esquemas de la seguridad tradicional. Ahora, cada segundo, se establecen millones de conexiones entre personas, máquinas, aplicaciones y dispositivos que comparten ingentes volúmenes de datos. Los ataques ocurren a la velocidad de la nube y los sistemas de defensa deben actuar igual de rápido. Si ello dependiera únicamente de la intervención humana, sencillamente, no sería factible.
Gestionar este nuevo entorno de seguridad, en el que conviven multitud de soluciones (y no solo on-premise, sino también cloud), requiere que nos apoyemos en la IA y la automatización si queremos cubrir toda la superficie expuesta a ataques. De otro modo, dada la extraordinaria cantidad de ciberamenazas existentes, resultaría imposible anticiparse a ellas, detectarlas y reaccionar adecuadamente.
Los ataques ocurren a la velocidad de la nube y los sistemas de defensa deben actuar igual de rápido
Microsoft cuenta con 8500 especialistas en seguridad repartidos en diferentes unidades, como la Digital Crimes Unit (DCU), el Microsoft Threat Intelligence Center (MSTIC), el Detection and Response Team (DART) y el Microsoft Cyber Defense Operation Center (CDOC). Con estos medios hace frente a unas amenazas globales que, solo este año, supondrán un coste de ocho billones de dólares en todo el mundo.
Analizar diariamente 24 billones de señales, como hace el CDOC, es lo que permite contar con sistemas de alerta temprana mucho más efectivos, ayudados por un repositorio de inteligencia de seguridad como Microsoft Intelligence Security Graph —uno de los mayores del mundo—, que brinda la base para entrenar a los sistemas de IA y sus modelos predictivos de machine learning (ML) para anticiparse a las amenazas.
Reducir la fatiga por alertas
Actualmente, las organizaciones cuentan, de media, con cerca de setenta productos de seguridad de 35 proveedores diferentes. Mientras, el número de alertas de seguridad crece interanualmente por encima del 30%, y alrededor del 44% de ellas no se investiga.
El modelo zero trust y la Plataforma XDR de Microsoft son claves para reducir la fatiga que los departamentos de TI
El modelo zero trust adoptado por Microsoft y su Plataforma XDR (extended detection and response), que combina Microsoft 365 Defender y Azure Defender, es vital para reducir la fatiga que los departamentos de TI y las áreas de Seguridad experimentan debido al bombardeo de alertas. La clave es contar con una potente automatización que ayude a normalizar los datos, analizarlos y cruzar alertas que aparentemente no están relacionadas con incidentes. Ahí es donde entra en juego la IA, capaz de analizar en tiempo real millones de incidentes y de detectar el más mínimo comportamiento sospechoso para anticiparse a una amenaza real.
Otra de las apuestas de Microsoft se basa en la complementariedad de XDR y SIEM (security information and event management) para obtener unos niveles de seguridad aceptables. De hecho, servicios como Microsoft Sentinel, el primer SIEM nativo en la nube, hacen posible crear flujos de trabajo para habilitar automatizaciones de seguridad, paneles para informes y modelos de aprendizaje automático para detectar amenazas y reducir drásticamente los falsos positivos.
Microsoft Sentinel es un 48% menos costoso y un 67% más rápido de implementar que los SIEM locales heredados
Según Forrester, Microsoft Sentinel es un 48% menos costoso y un 67% más rápido de implementar que los SIEM locales heredados. Ayuda a recopilar datos a escala de la nube, en todos los usuarios, dispositivos, aplicaciones e infraestructuras, tanto en on-premise como en entornos multicloud, aplicando IA para investigar las amenazas y destapar actividades sospechosas aprendidas de décadas de know-how de Microsoft en este campo.
Automatización de las identidades
Siguiendo con su filosofía zero trust, y en el plano de la automatización de seguridad, Microsoft incorpora Identity Governance a Microsoft Entra, su nueva familia de productos que abarca todas las capacidades de identidad y acceso de Microsoft.
Gracias a Azure AD Identity Governance es posible automatizar la creación de nuevos usuarios y cuentas de invitados, y administrar sus derechos de acceso de un modo desatendido, lo que descarga extraordinariamente de trabajo a los departamentos de TI. Además, elimina cuellos de botella que puedan afectar a procesos comerciales o de la cadena de suministro.
La gran ventaja de Identity Governance es su capacidad para cubrir todo el ciclo de vida de la identidad, para lo cual rastrea los cambios en los atributos del usuario. De este modo se simplifica la asignación y administración de los derechos de acceso, que pasan a aplicarse de manera automática.
La unión hace la fuerza
Consciente de lo complejo de la ciberseguridad, Microsoft creó la Asociación de Seguridad Inteligente de Microsoft (MISA, por sus siglas en inglés, Microsoft Intelligent Security Association), concebida como un ecosistema de colaboración entre proveedores tanto de software independiente (ISV) como de servicios de seguridad gestionada que trabajan juntos para aumentar los niveles de seguridad.
Microsoft Intelligent Security Association es un ecosistema de colaboración que busca aumentar los niveles de seguridad
Para combatir a los peores es preciso contar con los mejores. Con esa máxima como principio, MISA agrupa a los principales expertos en la industria de la ciberseguridad, que comparten experiencia y conocimientos. El objetivo es poder crear soluciones de seguridad conectada, integradas con las API y SDK de Microsoft.
De este modo, se incrementa la inteligencia sobre amenazas al tiempo que se acelera el desarrollo de aplicaciones gracias a las API unificadas de Microsoft Graph y los conectores de datos (Azure Logic Apps, Microsoft Flow, etc.). Aprovechando la velocidad y escala de Microsoft Cloud, los desarrolladores pueden recopilar y analizar grandes cantidades de datos de seguridad variados y crear sus aplicaciones a escala global.
La IA también es objetivo criminal
El enfoque holístico de la seguridad de Microsoft le ha llevado no solo a considerar la IA como una herramienta eficaz para fortalecer el blindaje de las organizaciones ante ciberdelincuentes, sino también a contemplarla como un objetivo de estos. A fin de cuentas, la consultora Gartner apunta que la IA plantea nuevos requisitos de gestión de confianza, riesgo y seguridad que los controles convencionales no abordan.
La oferta de Microsoft cubre también este gap, pero no lo hace incorporando un nuevo proceso con el que saturar aún más al CISO, sino aprovechando los existentes para gestionar este riesgo. De esta manera, la compañía ha realizado una evaluación de riesgos de seguridad de IA que cubre todo el ciclo de vida del desarrollo y la implementación del sistema, o, dicho de otro modo, que tiene en cuenta la seguridad de toda la cadena de suministro y la gestión de los sistemas de IA.
Microsoft ha realizado una evaluación de riesgos de seguridad de IA que cubre todo el ciclo de vida del desarrollo y la implementación
Con esta aproximación se obtiene una perspectiva integral de la seguridad, desde la ingesta de datos a su procesamiento y la implementación del modelo de aprendizaje automático. Microsoft cuenta con guías y mejores prácticas en las que describe las amenazas del aprendizaje automático en cada una de las fases, con recomendaciones para mitigarlas. Además, brinda la capacidad de, por un lado, recopilar información sobre el estado actual de seguridad de los sistemas de IA en una organización, y, por otro, de efectuar análisis de brechas y monitorizar el progreso. Counterfit, su herramienta de código abierto para simplificar estas evaluaciones, ya se ha convertido en un referente para la seguridad de los sistemas de IA.
