La conquista del planeta de los simios (o del analista de ciberseguridad) por ChatGPT
Como en la saga de películas de El planeta de los simios, los pobres analistas de ciberseguridad, en sus múltiples facetas (inteligencia, alertas, incidentes...) son permanentemente cuestionados y las apuestas cotizan al alza con cada nuevo concepto, tecnología y/o herramienta que viene a sustituirlos. Elementos que permitirán, ahora sí, que todo funcione de manera “automágica”, inteligente, sin falsos positivos (ni negativos) y, por supuesto, a una décima parte del coste actual. Si a ello le unimos la escasez actual de profesionales que quieren y pueden dedicarse a esta tarea, tenemos la tormenta perfecta para que florezcan cada vez más teorías y tecnologías que jubilan anticipadamente al analista de ciberseguridad.
Más allá de las frases “marketinianas” tan en boga en estos momentos como SOCLess o automatización inteligente, o más allá de las soluciones, empresas y charlas que prometen un SOC sin analistas, totalmente automatizado y sin apenas intervención humana, donde la propia IA es quién avisa si se les necesita, la experiencia diaria dista mucho de ello. Por este motivo, los analistas de ciberseguridad todavía tienen una larga vida por delante. Es cierto que su labor se ha venido transformando en los últimos años y tiene que seguir siendo así, igual que en aquellos ámbitos tecnológicos donde surgen elementos disruptivos de verdad (no de marketing). Quién no lo hace se queda obsoleto y tiende a desaparecer, ya sean los propios analistas o sus empresas.
Jorge Uyá
Director de Operaciones
INNOTEC SECURITY
Evolución
Entonces, ¿cuál es la evolución esperada de esta figura? Si recurrimos a la bola de cristal (y sobre todo a la experiencia), podemos augurar que se les va a requerir salir del barro; es decir, huir del trabajo con poco valor; de infinitas alertas que revisar y donde la orquestación y la automatización están consiguiendo resultados excelentes. Recordemos que, gracias a la mejora de las técnicas de detección y la sofisticación de los ataques, los analistas están desbordados. Cada vez hay más silos de información (alertas, logs, inventario, vulnerabilidades, arquitectura, identidades, cambios, incidencias de TI, excepciones de negocio o de operativa, playbooks…). Será preciso, por tanto, centrarse en los casos que requieran investigación, contexto, análisis y razonamiento. Aplicar una vez más la desgastada teoría del 80-20. Así, el uso de tecnologías de orquestación y automatización, como la utilización real de IA o machine learning, permitirá desprenderse de ese 80% que tiene que gestionarse, aunque no sea glamuroso. El 20% restante quedará para la figura del analista que, además, contará con estas mismas herramientas para obtener información, conseguir respuestas o interconectar fuentes de información.
Para terminar, y volviendo al símil de El planeta de los simios, el futuro real es la convivencia de ambas especies donde cada una (las tecnologías de automatización e inteligencia artificial y los analistas) realice lo que mejor sabe hacer. Por un lado, la IA reduciendo las tareas repetitivas y gestionando los casos particulares y excepciones y, de otro, nuestros queridos analistas, a los que les daremos tiempo y espacio para investigar las cosas relevantes, atender los casos en los que la automatización falle o no sepa cómo gestionarlo (que también ocurre) y, por supuesto, aportar el contexto y el razonamiento a las situaciones que así lo requieren.
Este perfil requiere de un gran esfuerzo por parte del analista, pero, como dije al principio, los que no se vean capaces de desenvolverse en estas funciones terminarán por desaparecer (esto da para otro artículo).
...
Nota: Este texto ha sido generado por ChatGPT ante la temática planteada muy acertadamente por nuestros amigos de la Revista SIC; a saber: el espacio que le va a ir quedando al analista de ciberseguridad en los terrenos de la detección+correlación/ comprensión, frente al incremento de la superficie de ataque y la tendencia a la automatización inteligente.