A metà degli anni 2000, ho avuto la fortuna di ricevere un invito a entrare a far parte di uno dei principali gruppi di ricerca sulla sicurezza informatica del governo degli Stati Uniti presso l'Idaho National Laboratory (INL) del Dipartimento dell'Energia. Durante la mia permanenza lì, ho avuto l'opportunità unica di collaborare con una vasta gamma di esperti informatici provenienti dai settori dell'intelligence, militare e privato. Alcuni dei miei ricordi più belli del periodo trascorso all'INL sono legati ai workshop di trasferimento delle conoscenze che abbiamo organizzato, uno dei quali in particolare mi è rimasto impresso.
Abbiamo invitato un gruppo di soldati delle forze speciali dell'esercito statunitense a seguire un corso di formazione sulla sicurezza informatica e sulle tecniche forensi. Il corso verteva su come aiutare le truppe in zone ostili a proteggere i propri sistemi digitali, ridurre al minimo le tracce elettroniche, riconoscere i sistemi nemici di valore, confiscarli in modo sicuro e consegnarli agli esperti per analizzarne il contenuto.
Allarme di sicurezza rumoroso: è solo una grande distrazione.
Durante una delle sessioni, stavo parlando con un ufficiale delle forze speciali e gli ho chiesto quali fossero le tre chiavi principali per condurre un'operazione di successo. Le prime due risposte erano tipiche: avere una buona squadra, assicurarsi che l'attrezzatura sia la migliore possibile, ma la terza mi ha sorpreso. Ha detto con il suo accento del sud: "Porta sempre con te un sacco di animali morti".
Ora, per coloro che non sono madrelingua inglesi e non hanno familiarità con i dialetti rurali degli Stati Uniti, un "varmint" è solitamente un piccolo animale spesso considerato un parassita. Topi, ratti, rospi, gazze: tutti questi animali potrebbero essere facilmente classificati come "varmint". Mi sono appoggiato allo schienale e ho riflettuto sul suo commento per un minuto, poi ho dovuto chiedere: "Cosa diavolo c'entra un sacco di creature morte con una missione speciale di successo?"
Con uno scintillio negli occhi, si sporse in avanti e abbassò la voce come se stesse condividendo il segreto più prezioso del suo mestiere e spiegò come un sacco di piccoli animali morti fosse di vitale importanza per causare affaticamento tra le guardie che proteggevano l'obiettivo della loro missione. Continuavo a non capire. Ormai un po' esasperato, si appoggiò allo schienale e disse: "Se hai una guardia che deve rispondere a ogni allarme lanciato da un sensore di movimento, alla fine si stancherà di rispondere". Continuò:
“Supponiamo che una struttura ad alta sicurezza sia dotata di recinzione elettrica e sensori di movimento. Se lanci un ratto morto contro la recinzione, scatta l'allarme, il soldato esce, vede il ratto morto, scuote la testa e torna al suo posto. Poi, pochi minuti o ore dopo, lanci un altro animale contro la recinzione, la guardia esce, guarda l'animale morto, scuote la testa e torna al suo posto di sorveglianza. Poco dopo, prendete un altro animale dal vostro sacco e lo lanciate di nuovo nello stesso punto. La maggior parte delle guardie di livello inferiore si stancherà di vedere allarmi sostanzialmente falsi e, alla terza o quarta volta, non uscirà più a controllare. Una volta percepito che le guardie sono stanche, sferrate il vero attacco contro lo stesso punto in cui avete lanciato gli animali morti. A volte puoi ottenere fino a 10 minuti di vantaggio sulle guardie perché non risponderanno a un altro allarme in quel punto, e quei 10 minuti possono fare la differenza tra il successo e il fallimento della missione.
Dopo questa spiegazione, ho capito perché questo operatore speciale avesse dato la priorità alla sua borsa di animali morti. Ho subito pensato al ruolo di un analista del Security Operations Center (SOC) e a come la stanchezza influisca sulla loro risposta agli avvisi e agli allarmi. Una volta che un analista ha risposto più volte a quello che viene percepito come un falso allarme, di solito crea degli script per automatizzare la de-priorizzazione o la riclassificazione di tali avvisi. I cyber-aggressori più sofisticati mettono in atto tattiche simili, creando rumore in modo che il team SOC risponda, il che li porta a un vicolo cieco che li desensibilizza a determinati allarmi. Quindi, una volta convinti che il team di sicurezza informatica non risponderà in modo rapido ed efficace come avrebbe fatto se avessero eseguito l'attacco vero e proprio, eseguono l'operazione reale.
Basta chiacchiere. Pensa come un aggressore.
L'approccio di Vectra alla sicurezza informatica è studiato per aiutare i team di sicurezza a pensare come un aggressore, riconoscere ciò che è dannoso e concentrarsi sulle urgenze. Quando i team di sicurezza sono affaticati, la loro percezione degli attacchi può cambiare radicalmente il modo in cui difendono i sistemi critici. Utilizzando la migliore intelligenza artificiale disponibile nel campo della sicurezza informatica, la tecnologia di Vectra non soffre di affaticamento come gli analisti umani. La tecnologia di Vectra è in grado di eseguire una rapida analisi dei metadati per determinare il contesto di un falso allarme dagli artefatti associati a un attacco reale. Questa capacità di amplificare i segnali associati agli attacchi reali e attenuare il rumore che distrae i team SOC è ciò che rende Vectra diversa da tutte le altre piattaforme di sicurezza informatica.
Da quando le organizzazioni hanno intrapreso il loro percorso verso il cloud, trasferendo molte parti della loro infrastruttura tecnologica al di là dei tradizionali controlli di sicurezza incentrati sui data center, hanno aumentato in modo esponenziale la loro superficie di attacco. Spesso questa maggiore complessità rende quasi impossibile per un essere umano percepire tutti i nuovi percorsi di attacco che sono stati creati all'interno della complessità di un ambiente ibrido. Pochissime organizzazioni diventeranno mai cloud con la loro intera infrastruttura IT e, in un mondo per sempre ibrido, solo Vectra offre ai team di sicurezza la capacità di rilevare e rispondere su cloud, SaaS, provider di identità e sistemi on-premise per ridurre il rumore degli avvisi, amplificare l'efficienza di rilevamento, indagare e rispondere agli attacchi prima che diventino violazioni.
Vectra offre una copertura completa della superficie di attacco, chiarezza dei segnali e controllo intelligente per facilitare la ricerca e l'analisi delle minacce in modi che le soluzioni puntuali non sono in grado di fornire. Ripensando al mio percorso pluridecennale in diversi ruoli nella comunità della sicurezza informatica, ritengo che la visione di Vectra su come potenziare la percezione umana degli attacchi informatici con l'apprendimento automatico sia unica e una delle poche che mi ha dato la speranza che i difensori possano stare un passo avanti agli aggressori. Mentre realizziamo le capacità AI uniche di Vectra, il team Vectra sta anche sviluppando capacità uniche per aiutare a dare priorità alla gestione della superficie di attacco attraverso l'automazione e l'apprendimento automatico, al fine di ridurre il tempo in cui le configurazioni errate possono lasciare le organizzazioni vulnerabili agli attacchi, diminuendo ulteriormente la probabilità di una violazione.
Sono orgoglioso di far parte del team Vectra e di contribuire a trasformare questa visione in realtà. Grazie alla Security AI-driven Attack Signal Intelligence, Vectra può aiutare i difensori a ridurre i rumori di distrazione e a concentrarsi sugli attacchi che contano, a un ritmo molto più veloce rispetto a qualsiasi altra piattaforma di sicurezza attualmente sul mercato.
Scopri come Vectra Attack Signal Intelligence i team di sicurezza che utilizzano la piattaforma Vectra Threat Detection and Response.