Quando la vostra organizzazione è sull'orlo di una violazione, ricordiamo cosa significa in realtà, in modo da avere le migliori possibilità di fermarla. Indipendentemente dal modo in cui avviene, dopo aver ottenuto l'accesso al vostro ambiente, i criminali hanno bisogno di tempo per mettersi a proprio agio e lavorare per raggiungere un obiettivo. Ciò può significare preparare l'esplosione di un ransomware o prepararsi a un'acquisizione di un account, ma in ogni caso hanno bisogno di tempo all'interno. Infatti, secondo questo articolo di DarkReading, il tempo medio di permanenza globale di un attaccante in un ambiente prima del rilevamento è sceso a 24 giorni.
Si possono raccogliere diverse prospettive su ciò che accade durante il tempo di permanenza, ma se si considera che il tempo che gli aggressori trascorrono all'interno di un ambiente continua a diminuire, il tempo è il fattore più importante per rilevare le violazioni. Più breve è il tempo di permanenza, meno tempo si ha a disposizione per individuare gli aggressori prima che accada qualcosa di grave. Per avere un'idea più precisa di come le organizzazioni possano aumentare l'efficienza dei SOC, in modo da essere pronte a individuare e bloccare rapidamente gli attacchi, abbiamo incontrato il team di ricerca sull'intelligenza artificiale di Vectra per ottenere alcuni suggerimenti. Diamo un'occhiata più da vicino a come l'IA può aggiungere un po' di potenza in più al vostro SOC.
Migliorare l'accuratezza degli avvisi e ridurre al minimo i falsi positivi con l'AI
I SOC hanno solo poco tempo a disposizione e non possono permettersi di essere sommersi da avvisi benigni; tuttavia, raccogliendo i dati giusti e disponendo di un'intelligenza artificiale significativa, possono individuare gli attacchi e gli eventi di sicurezza che richiedono un'attenzione immediata. Il recente rapporto Spotlight, Vision and Visibility: Top 10 Threat Detections for Microsoft Azure AD and Office 365 fornisce uno sguardo dettagliato su come la raccolta dei dati giusti e i rilevamenti delle minacce basati sull'intelligenza artificiale consentano di identificare l'attività di un avversario durante eventi come un attacco alla catena di approvvigionamento. L'intelligenza artificiale è il modo più efficace per rilevare la differenza tra il comportamento degli utenti autorizzati e le azioni di un aggressore, cosa che sta diventando molto più difficile da identificare man mano che gli aggressori diventano sempre più abili.
Ottimizzazione guidata dall'intelligenza artificiale per indagini basate sull'analisi
Le indagini possono essere molto impegnative per i SOC e generalmente consistono in processi manuali che richiedono molto tempo e che non forniscono un approccio realistico all'identificazione degli aggressori che hanno già aggirato i controlli perimetrali. Anche in questo caso, il problema è il tempo, perché le indagini richiedono un insieme di competenze specialistiche, tra cui la capacità di analizzare malware, log, pacchetti forensi e di correlare enormi quantità di dati provenienti da un'ampia gamma di fonti. In molti casi, le indagini sugli eventi di sicurezza possono durare ore, mentre un'analisi completa delle minacce avanzate può richiedere giorni, settimane o mesi. Tutti questi scenari di indagine possono essere automatizzati con l'intelligenza artificiale, comprese le funzioni di rilevamento delle minacce, reporting e triage tipicamente svolte dagli analisti di livello 1, restituendo ore preziose per svolgere altre attività. Gli analisti ottengono anche un contesto più profondo e significativo sulle comunicazioni dannose, compresi i dettagli sui comportamenti specifici degli attacchi e sui dispositivi host compromessi coinvolti negli attacchi.
Automatizzare la caccia alle minacce con l'intelligenza artificiale
La caccia alle minacce è un'altra sfida che i SOC devono affrontare e che è certamente necessaria nell'ambiente odierno per stare davanti agli aggressori. L'intelligenza artificiale può aiutarvi a scoprire gli aggressori nascosti in anticipo e ben prima che altri strumenti o personale ne conoscano l'esistenza. Ad esempio, è possibile sfruttare l'intelligenza artificiale per migliorare le indagini basate sugli account, in modo che gli analisti dispongano dei dettagli necessari per identificare gli usi e le azioni degli account potenzialmente compromessi o persino tracciare le comunicazioni per aiutare a determinare i dispositivi host che hanno domini o IP specifici. Come nel caso di altre indagini, le funzioni di rilevamento, reporting e triage tipicamente svolte possono essere completamente automatizzate.
Rilevamento, valutazione e priorità delle minacce ad alto rischio grazie all'IA
Uno dei modi più rapidi in cui un team SOC può perdere ore preziose è quello di passare al setaccio tutti i diversi strumenti di sicurezza e gli avvisi che possono o meno mostrare le informazioni più pertinenti. Se si utilizza l'intelligenza artificiale per tutti i motivi sopra elencati, i SOC ricevono informazioni prioritarie sulle minacce che rappresentano il rischio più elevato, come ad esempio le risorse chiave che mostrano segni di un attacco o le anomalie che devono essere corrette. Questo aiuta notevolmente i team SOC a stabilire le priorità in cui impiegare il proprio tempo.
Naturalmente, il SOC è diverso per ogni organizzazione e questi sono solo alcuni dei modi in cui l'intelligenza artificiale può dare una mano e liberare risorse in modo che il vostro team possa stare davanti agli aggressori e fermarli prima che si verifichi una violazione. Come abbiamo detto, tutto si riduce a recuperare il bene più prezioso che avete quando difendete il vostro ambiente: il tempo.
Per vedere come l'IA può dare una mano al vostro SOC, richiedete una demo oggi stesso!