Sto ancora riflettendo (e riprendendomi) dal Black Hat di Las Vegas. Quest'anno è stato diverso, più energico e le conversazioni più significative, pratiche, sincere. Ecco cosa ho capito, anche se vedo le cose attraverso i miei Vectra AI di colore verde:
1. L'intelligenza artificiale è ora sia un'arma che un obiettivo. L'intelligenza artificiale agentica, ovvero i sistemi autonomi, viene utilizzata per effettuare ricognizioni, sottrarre dati e persino aiutare gli aggressori a eludere i sistemi di rilevamento. Non malware . Se l'intelligenza artificiale utilizzata dai difensori non è progettata appositamente per pensare come gli aggressori, ovvero pensare e muoversi alla stessa velocità con cui gli aggressori si muovono attraverso la rete, l'identità e cloudil divario tra il tempo necessario per attaccare e quello necessario per difendersi aumenterà.
2. La verità è nel pacchetto. Abbiamo visto ricerche sul tunneling nelle reti private. Una volta all'interno, gli aggressori si mescolano al traffico "normale", si nascondono nei flussi crittografati e rimangono invisibili. Ecco perché la copertura del traffico est-ovest e nord-sud non è facoltativa, ma fondamentale.
3. L'identità è il bersaglio. Il furto di token , l'abuso della fiducia federata e l'escalation dei privilegi nel cloud ormai la nuova normalità. Gli hacker non penetrano nei sistemi, ma effettuano il login. E se non si monitora l'attività delle identità in tempo reale, è facile non accorgersene.
4. Il rischio convergente è reale. Rete, identità, Cloud, SaaS, IoT, OT: la sicurezza vede molteplici superfici di attacco, mentre gli aggressori vedono un'unica gigantesca superficie di attacco (che chiamiamo rete moderna). Tutto ciò di cui hanno bisogno gli aggressori moderni è un modo per entrare (identità) e, una volta entrati, si mimetizzano, si nascondono e si muovono senza attrito. Ciò solleva una domanda: dovremmo considerare la postura post-compromissione (rilevamento) tanto quanto quella pre-compromissione (prevenzione)?
Forse sono io e i miei pregiudizi: sento solo quello che voglio sentire, ma non posso fare a meno di allontanarmi dal Black Hat convinto che il problema da risolvere sia questo: le reti moderne, gli attacchi moderni e la difesa da essi si riducono a tre semplici domande:
1. Possiamo vederli? (Copertura)
2. Possiamo fermarli? (Controllo)
3. Quanto velocemente possiamo individuarli e fermarli? (Chiarezza)