Darktrace, la reconocida empresa británica de ciberseguridad que utiliza inteligencia artificial, ha dado un paso innovador al presentar su última herramienta: Darktrace / Forensic Acquisition & Investigation™. Esta solución pretende automatizar la investigación forense en entornos híbridos y multicloud, logrando reducir los tiempos de investigación de días a minutos. Paralelamente, la compañía ha anunciado mejoras en Darktrace / CLOUD™, su producto de detección y respuesta en la nube, con el objetivo de unificar la postura de seguridad, detección, contención y forensia en un proceso operativo único.
La adopción creciente de la nube ha superado la capacidad de adaptación de las operaciones de seguridad tradicionales. Un estudio reciente entre 300 encargados de seguridad cloud en Estados Unidos y el Reino Unido expuso que casi el 90 % de las organizaciones han sufrido daños antes de contener incidentes en la nube, y el 65 % reportó que investigar estos incidentes les toma de tres a cinco días más que en entornos físicos convencionales. Adicionalmente, más del 40 % reconoció haber sufrido daños significativos por alertas en la nube que nunca fueron investigadas.
Darktrace busca abordar estas problemáticas mediante dos estrategias clave: capturar y conservar pruebas en el instante en que se detecta una amenaza, incluyendo la evidencia volátil, y reconstruir automáticamente el comportamiento del atacante. Esto permite que los analistas pasen menos tiempo analizando señales dispersas y más tiempo tomando decisiones críticas.
La naturaleza efímera de los entornos en la nube —con contenedores que nacen y mueren en minutos, funciones sin disco y registros fragmentados entre proveedores— complica enormemente la tarea de los Centros de Operaciones de Seguridad (SOC). Las herramientas basadas únicamente en logs a menudo pasan por alto comportamientos críticos como movimientos laterales o escaladas de privilegios, y cuando se intenta «capturar una instantánea,» el activo ya ha desaparecido.
Darktrace / Forensic Acquisition & Investigation promete cambiar este panorama. Esta nueva solución actúa como un motor de adquisición forense automatizado, capturando información a nivel de disco, memoria, logs y artefactos en el momento en que se detecta una amenaza. Además, inicia la adquisición sin agentes mediante APIs de los proveedores de nube, asegurando que la evidencia no se pierda. La herramienta reconstruye automáticamente la línea de tiempo del atacante, permitiendo a los analistas tomar decisiones informadas sin tiempo de espera.
La integración con Darktrace / CLOUD permite una detección y respuesta más veloz y efectiva, proveyendo visibilidad dinámica del entorno cloud y gestionando el riesgo de manera proactiva. Cuando ambas soluciones trabajan en conjunto, Darktrace / CLOUD detecta y bloquea actividad sospechosa mientras que Forensic Acquisition & Investigation preserva la evidencia necesaria para una investigación y remediación efectivas.
La disponibilidad inmediata de esta tecnología brinda a las empresas la posibilidad de desplegarla de forma independiente o integrada en la ActiveAI Security Platform™ de Darktrace, permitiendo investigaciones de extremo a extremo en todo el perímetro digital.
En un contexto donde los atacantes actúan con rapidez y precisión, la automatización de la captura y reconstrucción de evidencias no es solo una ventaja, sino un imperativo para mantener la iniciativa en el campo de la ciberseguridad. Esta solución representa un cambio significativo para los equipos de seguridad, permitiéndoles pasar de prácticas de arqueología forense a investigaciones en tiempo real, aumentando su capacidad de respuesta y reduciendo el tiempo medio de resolución (MTTR).
A medida que la nube sigue impulsando la innovación tecnológica, Darktrace se posiciona como un actor clave en la protección de estos entornos dinámicos, asegurando que los equipos de seguridad puedan investigar y responder con efectividad y velocidad.
