Se trata de prevenir, defender y realizar un trata- miento proactivo y acelerado de forma efectiva y eficiente (con escuchas intrusivas y no intrusivas, análisis de datos en tiempo real, tecnología cogni- tiva, detección temprana anticipada, bloqueo, aislamiento, mitigación, tolerancia a fallos (alta disponibilidad/HA, failover, redundancia de recursos, etc.), ciber-vacunación, ciber-disuasión, ciber-resiliciencia ciber-inmunidad, ciber- engaño (distracción, desinformación, deception combinada, DDPs/Distributed-Deception-Platforms), inteligencia de ciber-amenazas y de vulnerabilidades (que crea y aporta conocimientos, genera precisión en las acciones-operacio- nes-decisiones), contención, recuperación/reversibilidad/ reversión, gestión de ciber-riesgos, de contingencias y con- tinuidad del negocio, etc. todo tipo de acciones maliciosas o fortuitas generadoras de ciber-riesgos. El resultado es obtener inmunidad no negativa, contención, filtrado, eliminación, bloqueo, recuperación, vuelta a la nor- malidadevitacióndeciber-amenazasanidadas,envidalatente, ciber-ataques, ciber-intrusiones, ciber-infecciones auto- mutantes, persistentes, degradaciones extremadamente lentas basadas en tecnología antiforense, etc. La cibersegu- ridad cognitiva intensiva entiende, razona y aprende, utiliza análisis no estructurado, lenguaje natural, machine learning, analítica de ciberseguridad (correlación de datos, identi- ficación de patrones, workflow, detección de anomalías, priorización, visualización de datos, etc.). La detección de ciber-amenazas es una de las áreas de mayor potencial para ML. Las principales técnicas ML en ciberseguridad cognitiva intensiva son: (i) Clasificación. Es la capacidad para tomar un punto de datos desconocido que parece benigno (fichero, correo electrónico, entrada de log, etc.) y compararlo con un gran conjunto de datos (repositorio de datos) previamente identificados y averiguar si es malicioso o no. (ii) Clustering. Se utiliza para SUBA (Security User Behavior Analysis) que intenta detectar actividad maliciosa de usuarios. También identifica ciberataques de red. En el ámbito de los SOC modernos que utilizan NAV (Network Analysis and Visibility) permite representar en un mapa los datos de ciber-ataques y los datos normales. (iii) Regresión. Se basa en observar una variedad de datos muestreados y otros de una clasificación y comparar las medidas matemáticas específicas de los datos en relación al valor de media estándar. Los puntos de datos medidos más lejanos de la media estándar son los probables que merecen análisis adicional. Operaciones de ciberseguridad relacionadas con los código-protocolos de buenas prácticas para ciberseguridad cognitiva intensiva Se puede identificar un colectivo de operaciones muy variadas, por ejemplo: 1. Test de penetración (Pentest). ¿Ha intentado atacar de forma ética, hacking ético (pen-test) sus propios sistemas-redes para testear el nivel de seguridad de dichos sistemas-redes y sus capacidades, habilidades y niveles para defenderse contra dichos ciber-ataques? Utilizando equipos multidisciplinares para ciber-ata- ques utilizando herramientas multifuncionales como Nmap, rootkits, sniffers, keyloggers, Metasploit, cra- 56 Evolución crítica necesaria y expansión dirigida hacia la ciberseguridad congnitiva intensa La ciberseguridad cognitiva intensiva lidera en un enfoque persistente estilo grupo multi-funcional (donde se combinan inteligencia artificial/tecnologías cognitivas (machine-learning (ML), deep-learning, redes neuronales, sistemas expertos, etc.), IDS/IPS, AV, DLP, NGFW, CA, IAM, DDP, PAM (Privileged Access Management), etc.) y multidisciplinar (monitorización-sensores, identificación, protección, detección, respuesta, contención, aislamiento, recuperación, prevención, etc.) un colectivo complementario de potentes herramientas, tácticas, técnicas, estrategias, mecanismos, procedimientos, etc. Prof. Dr. Javier Areitio Bertolín – E.Mail: jareitio@deusto.es. Catedrático de la Facultad de Ingeniería. Universidad de Deusto. Director del Grupo de Investigación Redes y Sistemas INVESTIGACIÓN Se trata de realizar un tratamiento proactivo y acelerado de forma efectiva y eficiente