La empresa británica Darktrace, líder en ciberseguridad con inteligencia artificial, ha dado a conocer su última innovación: Darktrace / Forensic Acquisition & Investigation™. Esta solución busca automatizar el proceso forense en entornos híbridos y multicloud, reduciendo significativamente los tiempos de investigación de días a minutos. Junto a este lanzamiento, Darktrace ha mejorado su producto Darktrace / CLOUD™, enfocado en la detección y respuesta en la nube, proponiendo una integración que permite unificar postura, detección y contención en un flujo de trabajo coordinado.
El avance de Darktrace responde a un reto cada vez más acuciante: la rápida adopción de servicios en la nube ha sobrepasado la capacidad de seguridad de muchas organizaciones. Un estudio entre 300 responsables de seguridad en EE. UU. y Reino Unido revela que casi el 90 % de las empresas ha sufrido daños antes de contener un incidente en la nube, y el 65 % de ellas requiere de tres a cinco días adicionales para investigar incidentes en la nube en comparación con los entornos físicos. Además, más del 40 % reconoce haber sufrido daños significativos por alertas no investigadas.
Darktrace aborda este desafío utilizando tecnología que permite capturar y conservar pruebas en el momento del aviso, incluyendo evidencias volátiles, y reconstruir automáticamente el comportamiento del atacante. Esto permite a los analistas centrarse más en la toma de decisiones que en la recopilación de información.
Una de las principales dificultades radica en la naturaleza efímera de los entornos cloud, donde las evidencias pueden desaparecer en minutos. En este contexto, herramientas basadas exclusivamente en logs suelen pasar por alto comportamientos clave. Darktrace ha implementado Cloudypots, honeypots en servicios como Jupyter Notebooks, que muestran cómo ataques de alto volumen se concentran en ráfagas, dejando poco margen para la investigación.
Darktrace / Forensic Acquisition & Investigation funciona como un motor de adquisición forense automatizada que captura datos a nivel de host en el momento de la detección de una amenaza, maximizando la disponibilidad de las evidencias. Utiliza APIs de los proveedores de cloud para iniciar la adquisición sin agentes y de inmediato, preservando incluso la evidencia volátil.
La automatización y el enfoque API-first destacan frente a soluciones que dependen de instantáneas manuales o agentes preinstalados. En entornos dinámicos, llegar a tiempo es crucial. Según Philip Bues, investigador de IDC, la forensia automatizada permite una investigación más rápida y una respuesta más efectiva, reduciendo además los riesgos.
La solución además se integra con Darktrace / CLOUD, su herramienta de detección y respuesta en la nube, proporcionando una visión dinámica y gestionando proactivamente el riesgo al detectar y contener amenazas tanto reconocidas como novedosas. La capacidad de desplegarse como SaaS o en instalaciones locales agrega flexibilidad, adaptándose a las necesidades de diferentes sectores que requieren control adicional de datos.
En definitiva, Darktrace busca transformar la respuesta ante incidentes en la nube, permitiendo investigar con eficiencia y rapidez para contrarrestar los ataques antes de que se conviertan en problemas mayores. Este avance promete cambiar el juego en ciberseguridad, abordando la creciente complejidad de los entornos cloud y mejorando significativamente los tiempos de respuesta.
Más información y referencias en Noticias Cloud.
