A metà degli anni 2000, ho avuto la fortuna di ricevere un invito a far parte di uno dei gruppi di ricerca sulla sicurezza informatica più importanti del governo degli Stati Uniti presso l'Idaho National Laboratory (INL) del Dipartimento dell'Energia. Mentre ero lì, ho avuto l'opportunità unica di collaborare con un'ampia varietà di esperti di intelligence, militari e del settore privato. Alcuni dei miei ricordi più belli del periodo trascorso all'INL sono stati i workshop sul trasferimento di conoscenze che abbiamo organizzato, uno dei quali è particolarmente importante.
Abbiamo invitato un gruppo di soldati delle operazioni speciali dell'esercito americano a seguire un corso di formazione sulla sicurezza informatica e sulla tecnica forense. La formazione comprendeva come aiutare le truppe in luoghi ostili a proteggere i loro sistemi digitali, a ridurre al minimo le impronte elettroniche, a riconoscere i sistemi nemici di valore, a confiscarli in modo sicuro e a consegnarli agli esperti per analizzarne il contenuto.
Il rumore degli avvisi di sicurezza è una grande distrazione.
Durante una delle sessioni, stavo parlando con un ufficiale delle forze speciali e gli ho chiesto quali fossero le tre principali chiavi per condurre un'operazione di successo. Le prime due risposte erano tipiche - avere una buona squadra, assicurarsi che l'equipaggiamento sia il migliore possibile - ma la terza mi ha sorpreso. Mi ha detto, con il suo strascico meridionale, "porta sempre con te un sacco di vermi morti".
Per coloro che non sono di madrelingua inglese e che hanno familiarità con i dialetti rurali degli Stati Uniti, un varmint è di solito un piccolo animale che viene spesso considerato un parassita. Topi, ratti, rospi, gazze: tutti questi animali possono essere facilmente classificati come "varmint". Mi sono seduto e ho elaborato il suo commento per un minuto e poi ho dovuto chiedermi: "Cosa diavolo c'entra un sacco di creature morte con il successo di una missione di operazioni speciali?".
Con un luccichio negli occhi, si chinò in avanti e abbassò la voce come se stesse condividendo il segreto più prezioso del suo mestiere e spiegò come un sacco di piccoli animali morti fosse di vitale importanza per provocare la stanchezza delle guardie che proteggevano l'obiettivo della missione. Non avevo ancora capito. Ormai esasperato, si appoggiò allo schienale e disse: "Se hai una guardia che deve rispondere a ogni allarme lanciato da un sensore di movimento, si stanca di rispondere". E continuò:
"Supponiamo che una struttura di massima sicurezza abbia una recinzione elettrica e dei sensori di movimento; si lancia un topo morto contro la recinzione, si attiva un allarme, il soldato esce, vede il topo morto, scuote la testa e torna al suo posto. Poi, qualche minuto o ora dopo, si lancia un altro animale contro la recinzione, la guardia esce, guarda l'animale morto, scuote la testa e torna alla sua postazione di monitoraggio. Un po' più tardi prendete un'altra bestiaccia dal vostro sacco e la lanciate di nuovo nello stesso posto. La maggior parte delle guardie di livello inferiore si stancherà di guardare i falsi allarmi e alla terza o quarta volta non uscirà più a cercarli. Una volta percepito che le guardie si sono stancate, si passa all'attacco vero e proprio contro lo stesso punto in cui sono stati lanciati gli animali morti. A volte si può ottenere un vantaggio di 10 minuti sulle guardie perché non rispondono all'ennesimo allarme in quel luogo, e quei 10 minuti possono fare la differenza tra il successo e il fallimento della missione".
Dopo questa spiegazione, ho capito perché questo operatore speciale dava priorità al suo sacco di animali morti. Ho pensato subito al ruolo di un analista del Centro operativo di sicurezza (SOC) e a come la stanchezza influisca sulla sua risposta agli allarmi. Una volta che un analista ha risposto più volte a quello che viene percepito come un falso allarme, di solito costruisce degli script per automatizzare la de-prioritizzazione o la riclassificazione di tali allarmi. I cyber-attaccanti più sofisticati praticano tattiche simili: creano rumore in modo che il team SOC risponda, il che li porta in un vicolo cieco che li desensibilizza a determinati allarmi. Poi eseguono l'operazione vera e propria quando ritengono che il team di cybersecurity non risponderà con la stessa rapidità o efficacia se avesse eseguito l'hacking vero e proprio.
Basta con il rumore. Pensate come un attaccante.
L'approccio di Vectra alla cybersecurity è costruito per aiutare i team di sicurezza a pensare come un attaccante, a sapere cosa è dannoso e a concentrarsi sull'urgenza. Quando i team di sicurezza sono affaticati, la loro percezione degli attacchi può cambiare radicalmente il modo in cui difendono i sistemi critici. Utilizzando la migliore intelligenza artificiale disponibile nel campo della cybersecurity, la tecnologia di Vectra non soffre di stanchezza come gli analisti umani. La tecnologia di Vectra è in grado di eseguire una rapida analisi dei metadati per determinare il contesto di un falso allarme dagli artefatti associati a un attacco reale. Questa capacità di amplificare i segnali associati agli attacchi reali e di attenuare il rumore che distrae i team SOC è ciò che rende Vectra diverso da tutte le altre piattaforme di cybersecurity.
Quando le organizzazioni hanno intrapreso il loro viaggio verso il cloud, trasferendo molte parti della loro infrastruttura tecnologica al di là dei tradizionali controlli di sicurezza incentrati sui data center, hanno aumentato in modo esponenziale la loro superficie di attacco. Spesso questa maggiore complessità rende quasi impossibile per un essere umano percepire tutti i nuovi percorsi di attacco che si sono creati nella complessità di un ambiente ibrido. Pochissime organizzazioni diventeranno mai cloud native con la loro intera infrastruttura IT e, in un mondo sempre ibrido, solo Vectra offre ai team di sicurezza la capacità di rilevare e rispondere attraverso cloud, SaaS, identity provider e sistemi on-premise per ridurre il rumore degli avvisi, amplificare l'efficienza del rilevamento, indagare e rispondere agli attacchi prima che diventino violazioni.
Vectra offre una copertura completa della superficie di attacco, chiarezza del segnale e controllo intelligente per facilitare la ricerca e l'investigazione delle minacce in modi che le soluzioni puntuali non possono fornire. Se penso al mio viaggio pluridecennale attraverso diversi ruoli nella comunità della sicurezza informatica, la visione di Vectra su come aumentare la percezione umana dei cyberattacchi con l'apprendimento automatico è unica e una delle poche che mi ha dato la speranza che i difensori possano stare davanti agli aggressori. Mentre sviluppiamo le esclusive capacità di AI di Vectra, il team di Vectra sta anche sviluppando capacità uniche per aiutare a dare priorità alla gestione della superficie di attacco attraverso l'automazione e l'apprendimento automatico per ridurre il tempo in cui le configurazioni errate possono lasciare le organizzazioni vulnerabili agli attacchi, diminuendo ulteriormente la probabilità di una violazione.
Sono orgoglioso di far parte del team di Vectra e di contribuire a realizzare questa visione". Grazie alla Security AI-driven Attack Signal Intelligence, Vectra è in grado di aiutare i difensori a ridurre il rumore che li distrae e a concentrarsi sugli attacchi che contano a un ritmo molto più veloce rispetto a qualsiasi altra piattaforma di sicurezza presente oggi sul mercato.
Scoprite come Vectra Attack Signal Intelligence potenzia i team di sicurezza che utilizzano la piattaforma Vectra Threat Detection and Response.