Operationalising Cyber Risk Management Using AI: Connecting Cyber Incidents to MITRE ATT&CK Techniques, Security Controls, and Metrics

Esta investigación presenta un marco innovador que utiliza modelos de lenguaje natural afinados para mapear automáticamente los incidentes cibernéticos a técnicas de MITRE ATT&CK y controles de seguridad, permitiendo a las organizaciones, especialmente a las pequeñas, gestionar el riesgo de forma sistemática mediante el "Cyber Catalog".

Lo esencial

Imagina que tu empresa es una casa. En el pasado, para protegerla, solo tenías un candado simple y esperabas que nadie intentara entrar. Pero hoy, los ladrones (los ciberdelincuentes) son como maestros del crimen: usan herramientas sofisticadas, conocen los trucos de las cerraduras y atacan de formas que nadie esperaba.

El problema es que muchas empresas, especialmente las pequeñas, no tienen un "detective privado" (un experto en ciberseguridad) las 24 horas del día para analizar cada intento de robo, entender cómo lo hicieron los ladrones y decidir qué cerradura nueva comprar.

Este artículo presenta una solución inteligente basada en Inteligencia Artificial (IA) que actúa como un asistente digital superpoderoso para estas empresas. Aquí te explico cómo funciona, paso a paso, con analogías sencillas:

1. El Gran Libro de Recetas: "El Catálogo Cibernético"

Los autores crearon algo llamado el "Cyber Catalog" (Catálogo Cibernético). Imagina que es un gigantesco libro de cocina que conecta tres cosas que normalmente están separadas:

• Los Ladrones (MITRE ATT&CK): Un diccionario que describe exactamente cómo actúan los hackers (ej. "robaron la contraseña", "entraron por la ventana trasera").
• Las Defensas (CIS Controls): Un manual de instrucciones sobre qué cerraduras, alarmas y muros construir para detenerlos.
• El Medidor de Éxito (Métricas SMART): Una regla para saber si la alarma funciona de verdad o si solo hace ruido.

La magia: Antes, un analista tenía que leer un informe de un ataque, buscar en el diccionario qué técnica usaron, buscar en el manual qué cerradura sirve y luego decidir si vale la pena comprarla. ¡Era un trabajo manual, lento y propenso a errores! Este Catálogo conecta todo automáticamente: "Si el ladrón usó la técnica X, compra la cerradura Y y mide el éxito con la regla Z".

2. El Entrenamiento del Detective (La IA)

Para que la IA pueda hacer este trabajo, los autores tuvieron que entrenarla. Pero tenían un problema: no tenían suficientes ejemplos de robos reales para enseñarle.

• El problema: Tenían solo 762 casos reales de ciberataques. Es como intentar enseñar a un niño a reconocer perros mostrándole solo 3 fotos.
• La solución creativa: Usaron una IA generativa (como un escritor fantasma muy avanzado) para crear 76.200 historias de ataques falsos pero realistas. Imagina que tomas una historia real de un robo y la reescribes 100 veces: cambiando el nombre de la ciudad, la fecha o el tipo de herramienta, pero manteniendo la esencia del crimen.
• El filtro de calidad: Luego, usaron otro "supervisor" (una herramienta llamada BERTScore) para leer esas historias y asegurarse de que no fueran basura. Solo guardaron las que tenían sentido.

3. El Entrenamiento Especializado (Ajuste Fino)

La IA que usaron (un modelo llamado sentence-transformer) ya era muy inteligente, como un estudiante que ha leído toda la biblioteca general. Pero no conocía el lenguaje específico de los hackers.

• El ajuste: Los autores "entrenaron" a este estudiante con sus miles de historias de ataques. Le enseñaron a distinguir matices muy finos.
  • Ejemplo: La diferencia entre "un ladrón que rompe una ventana" y "un ladrón que abre la puerta con una llave maestra" es sutil, pero crucial para saber qué cerradura poner. La IA aprendió a ver estas diferencias.
• El truco del "Falso Negativo": A veces, varios robos diferentes usan la misma técnica. Si la IA ve dos casos iguales en la misma clase de entrenamiento, podría confundirse y pensar que son diferentes. Los autores crearon una regla especial para que la IA no se confundiera y aprendiera a ser más precisa.

4. Los Resultados: ¡Un Detective de Élite!

Al final del entrenamiento, compararon a su IA entrenada con otras IAs genéricas que no habían estudiado ciberseguridad.

• Las IAs genéricas: Tenían un nivel de acierto moderado (como un guardia de seguridad que adivina).
• Su IA entrenada: Logró un nivel de precisión muy alto.
  • Si las IAs normales acertaban en el 58% de las veces, la suya acertaba en el 79%.
  • Además, cometía muchos menos errores graves. Mientras que las otras IAs a veces decían cosas totalmente absurdas, la suya era consistente y confiable.

¿Por qué es esto importante para la gente común?

Imagina que eres el dueño de una pequeña tienda.

1. Antes: Te roban un ordenador. Tienes que contratar a un consultor caro para que analice el robo, te diga qué pasó y te diga qué comprar. Si no tienes dinero, te quedas vulnerable.
2. Con este sistema: El sistema analiza el robo automáticamente, te dice: "¡Oye! Usaron la técnica 'T1059' (ejecución de comandos). Necesitas activar la defensa 'CIS Control 4' (gestión de permisos) y mide si funciona revisando los registros de acceso".

En resumen:
Este trabajo crea un puente automático entre el caos de los ataques informáticos y las soluciones prácticas de seguridad. Convierte un problema complejo y técnico en una lista de tareas claras y medibles, permitiendo que incluso las empresas pequeñas con pocos recursos puedan defenderse como si tuvieran un equipo de expertos de élita trabajando para ellas.

Es como pasar de tener un candado oxidado y esperar suerte, a tener un sistema de seguridad inteligente que te dice exactamente qué reforzar cada vez que alguien intenta entrar.

Resumen técnico

Resumen Técnico: Operacionalización de la Gestión de Riesgos Cibernéticos mediante IA

1. Planteamiento del Problema

El panorama de amenazas cibernéticas actual se caracteriza por un aumento sin precedentes en la frecuencia y sofisticidad de los ataques. Las organizaciones, especialmente las pequeñas y medianas empresas (PYMES), enfrentan desafíos críticos debido a la falta de recursos financieros, expertise técnico y personal especializado.

Los enfoques tradicionales de análisis de incidentes cibernéticos presentan limitaciones estructurales:

• Procesos Manuales: La traducción de narrativas de incidentes no estructurados a técnicas estructuradas (como MITRE ATT&CK) y su posterior mapeo a controles de seguridad (como CIS Controls) consume un tiempo excesivo de los analistas.
• Subjetividad: La evaluación de la efectividad de los controles de seguridad a menudo se basa en juicios subjetivos en lugar de métricas objetivas y cuantificables.
• Falta de Escalabilidad: Los procesos manuales no pueden escalar para manejar el volumen y la variedad de incidentes, lo que genera retrasos y brechas de cobertura.
• Desconexión: Existe una brecha entre la inteligencia de amenazas, los controles defensivos y los resultados medibles, dificultando la toma de decisiones basada en datos.

2. Metodología Propuesta

La investigación propone un marco integral que automatiza el mapeo de incidentes a técnicas de adversarios y controles de seguridad mediante Procesamiento del Lenguaje Natural (NLP). La metodología consta de cinco etapas clave:

A. Desarrollo del "Cyber Catalog" (Catálogo Cibernético)
Se creó una base de conocimientos unificada que integra tres capas interconectadas:

1. Capa de Fundamentos: Los 18 Controles Críticos de Seguridad de CIS (v8) y sus 153 salvaguardas.
2. Capa de Técnicas: Técnicas de MITRE ATT&CK mapeadas bidireccionalmente con los controles CIS.
3. Capa de Métricas: Métricas SMART (Específicas, Medibles, Alcanzables, Relevantes y Temporales) asociadas a cada control para permitir una evaluación objetiva.

B. Preparación y Aumento de Datos

• Base de Datos: Se utilizó el repositorio EuRepoC (762 pares incidentes-técnicas anotados manualmente por expertos).
• Aumento Sintético: Dado que el conjunto de datos inicial era insuficiente para el fine-tuning de modelos profundos, se empleó un modelo de lenguaje grande (GPT-5) para generar 100 descripciones sintéticas por incidente original. Esto resultó en 76,200 pares.
• Control de Calidad: Se aplicó BERTScore para filtrar datos de baja calidad, manteniendo solo aquellos con alta fidelidad semántica (F1 > 0.75). El conjunto final limpio contiene 74,986 pares.
• Minería de Negativos Duros (Hard Negative Mining): Para abordar el problema de las relaciones "uno-a-muchos" (donde múltiples incidentes mapean a la misma técnica), se generaron ejemplos negativos duros (técnicas semánticamente similares pero incorrectas) para forzar al modelo a aprender distinciones finas.

C. Arquitectura del Modelo y Entrenamiento

• Modelo Base: Se seleccionó all-mpnet-base-v2, un transformador de oraciones basado en la arquitectura MPNet, conocido por su alta calidad de incrustaciones.
• Función de Pérdida: Se utilizó una modificación de la Multiple Negatives Ranking Loss (MNRL). Se implementó un cargador de datos libre de duplicados (NoDuplicatesDataLoader) para evitar falsos negativos cuando múltiples incidentes positivos comparten la misma técnica en un mismo lote de entrenamiento.
• Configuración: Entrenamiento durante 10 épocas con una tasa de aprendizaje de $2 \times 10^{-5}$ y un tamaño de lote de 16.

3. Contribuciones Clave

1. El Cyber Catalog: Una base de conocimientos pública y estructurada que conecta controles CIS, técnicas ATT&CK y métricas cuantificables, cerrando la brecha entre inteligencia de amenazas y gestión operativa.
2. Pipeline de Datos de Alta Calidad: Un enfoque riguroso que combina aumento de datos con LLMs, evaluación con BERTScore y minería de negativos duros para crear un conjunto de entrenamiento robusto.
3. Modelo Fine-Tuned Superior: Demostración de que el ajuste fino de un transformador generalista en datos específicos de ciberseguridad mejora drásticamente la capacidad de mapeo semántico.
4. Herramienta Accionable: Un sistema que permite a las organizaciones, especialmente a las PYMES, realizar triaje automatizado, identificar brechas de seguridad y medir la efectividad de los controles.

4. Resultados y Evaluación

El modelo ajustado (ft_mpnet_v6) se comparó con modelos base de referencia (all-mpnet-base-v2, all-distilroberta-v1, all-MiniLM-L12-v2).

• Correlación de Spearman: El modelo propuesto alcanzó 0.7894, superando significativamente a los modelos base (que oscilaron entre 0.55 y 0.58). Esto representa una mejora relativa de aproximadamente el 37% y un salto de una correlación "moderada" a "muy fuerte".
• Correlación de Pearson: Se logró un valor de 0.8756, indicando una fuerte relación lineal entre las predicciones y los valores reales.
• Errores de Predicción:
  • MAE (Error Absoluto Medio): 0.1352 (una reducción del ~67% respecto a los modelos base).
  • MSE (Error Cuadrático Medio): 0.0272 (una reducción del ~90% respecto a los modelos base).
• Distribución de Errores: El análisis de violines mostró que el modelo propuesto tiene una distribución de errores más estrecha y concentrada cerca de cero, lo que indica una mayor consistencia y estabilidad en comparación con los modelos base, que mostraron una mayor probabilidad de errores severos.

5. Significado e Impacto

Este trabajo tiene implicaciones profundas para la gestión de riesgos cibernéticos:

• Automatización del Triaje: Reduce drásticamente el tiempo necesario para clasificar incidentes y asignar controles relevantes, permitiendo una respuesta más rápida.
• Gestión Basada en Evidencia: Permite a las organizaciones pasar de la intuición a la toma de decisiones basada en métricas objetivas (SMART) para justificar inversiones en seguridad.
• Identificación de Brechas: Facilita la detección automática de qué técnicas de ataque no están cubiertas por los controles implementados, permitiendo una priorización estratégica de recursos.
• Escalabilidad para PYMES: Proporciona una herramienta accesible para organizaciones con recursos limitados, democratizando el acceso a una gestión de riesgos avanzada y basada en inteligencia de amenazas.

En conclusión, el marco presentado no solo mejora la precisión técnica del mapeo de incidentes a técnicas de ataque, sino que operacionaliza la gestión de riesgos al vincular directamente la inteligencia de amenazas con controles defensivos medibles, sentando las bases para una defensa cibernética más resiliente y orientada a datos.