Esta publicación está coescrita por Tal Shapira y Tamir Friedman de Reco.
Reco ayuda a las organizaciones a fortalecer la seguridad de sus aplicaciones de software como servicio (SaaS) y acelerar los negocios sin compromisos. Utilizando Anthropic Claude en Amazon Bedrock, Reco aborda el desafío de las alertas de seguridad legibles por máquinas que los equipos de SOC tienen dificultades para interpretar rápidamente. Esta implementación ayuda a transformar las alertas sin procesar en información intuitiva y legible por humanos, optimizando las operaciones de seguridad con análisis impulsados por IA que ayudan a mejorar la detección de amenazas, agilizar el procesamiento de alertas y proporcionar la inteligencia contextual necesaria para tiempos de respuesta más rápidos y una mejor mitigación de riesgos.
En esta publicación de blog, le mostramos cómo Reco implementó Amazon Bedrock para ayudar a transformar las alertas de seguridad y lograr mejoras significativas en los tiempos de respuesta a incidentes.
Reco seleccionó Amazon Bedrock para esta solución debido a sus amplias ventajas en la implementación de capacidades de IA generativa. Amazon Bedrock brinda acceso a múltiples modelos básicos de proveedores líderes de IA, lo que permite la flexibilidad de elegir el modelo óptimo para casos de uso específicos. El servicio ofrece funciones de seguridad integradas que incluyen cifrado de datos, integración de nube privada virtual (VPC) y alineación de cumplimiento con los estándares de la industria, lo que ayuda a garantizar que los datos confidenciales permanezcan protegidos durante todo el flujo de trabajo de IA. Su modelo de precios de pago por uso elimina los costos iniciales de infraestructura y escala automáticamente con la demanda, lo que lo hace rentable para cargas de trabajo variables. Además, los desarrolladores pueden utilizar la arquitectura basada en API de Amazon Bedrock para integrar capacidades de IA en sus aplicaciones, de modo que puedan crear soluciones sofisticadas impulsadas por IA mientras mantienen el control sobre la arquitectura de sus aplicaciones y el flujo de datos.
El desafío: hacer que las alertas de seguridad sean procesables
Las alertas de seguridad modernas suelen ser muy técnicas y requieren que los ingenieros de seguridad analicen manualmente datos de eventos sin procesar, cotejen indicadores entre múltiples alertas de seguridad, determinen el impacto potencial y las respuestas apropiadas, obtengan información útil y comuniquen los hallazgos a partes interesadas no técnicas. Este proceso lleva mucho tiempo y aumenta el riesgo de pasar por alto amenazas críticas. Esto plantea dos desafíos:
Comprensión de alertas: cómo convertir datos de alertas estructurados en información significativa que los equipos de seguridad puedan captar rápidamente. Investigación y remediación: cómo automatizar el proceso de sugerencia de consultas de investigación y acciones de remediación basadas en el contexto de la alerta.
La solución: Generador de historias de alerta Reco
Alert Story Generator de Reco es un componente central de la solución Reco que aborda estos desafíos a través de cuatro capacidades clave:
Transformación de alertas: convierte datos de alertas JSON complejos en narrativas claras y procesables que los equipos de seguridad pueden comprender rápidamente Correlación de riesgos: analiza múltiples puntos de datos para identificar riesgos de seguridad clave, evalúa el impacto potencial y prioriza las acciones de respuesta Comunicación entre equipos: genera resúmenes de alertas autoexplicativos para un intercambio fluido entre las partes interesadas de la seguridad y el negocio Investigación automatizada: crea consultas de investigación listas para ejecutar que ayudan a los analistas a profundizar en actividades sospechosas sin necesidad de realizar consultas manualmente
Implementación técnica
Alert Story Generator utiliza un sofisticado enfoque de ingeniería rápida que combina:
Usar ejemplos cuidadosamente seleccionados para un aprendizaje en pocas oportunidades para facilitar una calidad de salida constante. La transición del enfoque de cero disparos al de pocos disparos mejoró significativamente la coherencia de los resultados estructurados generados por el modelo de lenguaje. Implementación de indicaciones contextuales que utilizan metadatos de alerta y patrones históricos. Este enfoque incluye inyectar datos de fila específicos para cada alerta y, al mismo tiempo, proporcionar ejemplos de algunas tomas seleccionados dinámicamente y adaptados al origen y tipo de alerta. Almacenamiento en caché de mensajes de Amazon Bedrock para ayudar a reducir la latencia de inferencia en un 75 %
Este enfoque impulsado por IA ayuda a transformar lo que tradicionalmente era un proceso manual que requería mucho tiempo en un flujo de trabajo automatizado que puede brindar información inmediata y al mismo tiempo mantener la profundidad y precisión que requieren los equipos de seguridad.
Arquitectura de tubería
Para comprender cómo funcionan juntos estos componentes técnicos, examinemos el proceso de procesamiento de un extremo a otro que impulsa el sistema de transformación de alertas de Reco, como se muestra en el siguiente cuadro:
El flujo de trabajo sigue estos pasos clave, organizando datos desde alertas sin procesar hasta información procesable:
El usuario selecciona una alerta para investigar en la interfaz de usuario. La alerta, en formato JSON, se recupera de la base de datos. El JSON de alerta, el mensaje de pocos disparos y los ejemplos de oro se combinan para generar un mensaje para identificar patrones y anomalías sospechosas y proporcionar recomendaciones de respuesta priorizadas y prácticas. Se envía un mensaje contextualizado a Anthropic Claude Sonnet en Amazon Bedrock. El sistema envía la respuesta al cliente para su procesamiento.
El flujo de trabajo, que se muestra en la siguiente imagen, se ejecuta en la nube de AWS mediante microservicios implementados en Amazon Elastic Kubernetes Service (Amazon EKS), un servicio de Kubernetes totalmente administrado, y Amazon RDS para PostgreSQL, un servicio de base de datos relacional que contiene los datos contextuales relacionados para las indicaciones. El acceso de los usuarios al chat está protegido por AWS WAF, que ayuda a proteger el backend de exploits comunes, y es atendido por Amazon CloudFront, que ayuda a entregar contenido con baja latencia y altas velocidades de transferencia.
Resultado de ejemplo
La siguiente imagen es un ejemplo del resultado de Reco Alert Story Generator generado a partir de datos simulados:
Conclusión
Al utilizar Anthropic Claude en Amazon Bedrock, Reco ha creado una herramienta de resumen de alertas de vanguardia que ayuda a transformar alertas de seguridad sin procesar en inteligencia procesable. Esta innovación permite a los equipos de seguridad responder de manera más efectiva, colaborar sin problemas y mitigar los riesgos más rápido que nunca.
La integración de Amazon Bedrock ha ayudado significativamente a mejorar la forma en que los clientes de Reco gestionan y responden a los incidentes de seguridad. Algunos beneficios clave incluyen:
Mejora del 54% en el tiempo de investigación: el sistema impulsado por IA sugiere pasos de investigación, generando automáticamente consultas que ayudan a los analistas a descubrir conocimientos más profundos sobre amenazas potenciales. Mejora del 63 % en el tiempo de respuesta a incidentes: los equipos de seguridad pueden utilizar recomendaciones de solución claras generadas por IA para actuar ante las alertas de seguridad de manera más eficiente, lo que ayuda significativamente a reducir los tiempos de mitigación de amenazas. Los clientes de Reco informan que los analistas de soporte de primera línea (nivel 1) ahora pueden manejar una gama más amplia de incidentes de seguridad de forma independiente, aliviando la necesidad de recurrir a especialistas con experiencia avanzada. Colaboración interfuncional mejorada: las narrativas generadas por IA ayudan a transformar las alertas técnicas en inteligencia relevante para el negocio que los equipos de seguridad pueden compartir con partes interesadas no técnicas. Esta comunicación mejorada acelera la toma de decisiones y alinea las respuestas de seguridad con las prioridades comerciales.
Para explorar más a fondo cómo la IA puede ayudar a transformar las alertas de seguridad, mejorar la respuesta a incidentes e implementar Amazon Bedrock para sus operaciones de seguridad, consulte estos recursos esenciales:
Sobre los autores
tal-shapira
Tal Shapira, Ph.D., es cofundador y director de tecnología de Reco, líder en seguridad de SaaS y miembro activo de Cloud Security Alliance. Anteriormente dirigió un grupo de I+D en ciberseguridad dentro de la Oficina del Primer Ministro israelí y se graduó del programa de élite Talpiot. La investigación de Tal abarca inteligencia artificial, redes informáticas y ciberseguridad, con trabajo postdoctoral en la Universidad Hebrea de Jerusalén y la Universidad Reichman. Tiene un doctorado. en Ingeniería Eléctrica de la Universidad de Tel Aviv.
Tamir Friedman
Tamir Friedman es ingeniero de infraestructura y GenAI en Reco en Tel Aviv, donde ha diseñado la infraestructura de nivel empresarial y DevOps basada en AWS de la empresa desde su fundación. Dirige el desarrollo de las soluciones de IA generativa de Reco, basadas en Amazon Bedrock y Anthropic Claude, que incluyen múltiples agentes de IA de producción. Tamir tiene un B.Sc. en Ingeniería Eléctrica e Informática del Instituto de Tecnología Technion-Israel y habla regularmente en eventos de la industria como la reunión Go Israel. Cuando no está optimizando los canales de la nube, probablemente lo encontrarás en la pista de baile practicando bachata.
Doron Bleiberg
Doron Bleiberg, arquitecto senior de soluciones de inicio.