Man mano che le minacce diventano più evidenti, è importante porsi la domanda: cosa porta effettivamente chiarezza? È una domanda che può metterci in difficoltà, ma forse semplicemente non la stiamo affrontando nel modo giusto.
Questo è un periodo in cui le grandi aziende finiscono sui giornali per tutti i motivi sbagliati. Latitude Financial, il fornitore di servizi finanziari che opera in Australia e Nuova Zelanda, ha reso noti i dettagli di un attacco informatico e di una violazione dei dati che ha colpito 225.000 dei suoi clienti.
In una situazione del genere, la visibilità è fondamentale: tecnologie come l'intelligenza artificiale (AI) ci forniscono una maggiore capacità di comprendere la nostra superficie di attacco e individuare rapidamente le minacce.
Portare alla luce gli aspetti sconosciuti per migliorare la sicurezza
Consideriamo innanzitutto gli aspetti sconosciuti. Gli ultimi due anni hanno portato a cambiamenti significativi nel nostro modo di lavorare e questi cambiamenti hanno portato a una superficie di attacco più ampia, a un maggior numero di vulnerabilità e exploit, a un maggior numero di strumenti e avvisi e a team più piccoli e sovraccarichi di lavoro. Nel frattempo, gli aggressori sono più evasivi e sofisticati nei loro metodi di infiltrazione.
È vero che spesso la nostra superficie di attacco è molto più ampia di quanto pensiamo. Non è raro che solo il 50% delle risorse sia registrato come endpoint, con indirizzi IP aggiuntivi di router, switch, stampanti, telecamere, telefoni e altri servizi. Questi indirizzi IP aggiuntivi potrebbero essere dispositivi personali su una rete ospite, servizi cloud e carichi di lavoro container, o anche servizi applicativi server tradizionali che eseguono una serie di attività non monitorate.
Ottenere visibilità su una superficie di attacco significa comprendere i vettori di minaccia che vanno oltre ciò che possiede la vostra azienda. Considerate l'accesso non autorizzato. Si tratta di un termine sempre più comune che, come suggerisce il nome, si riferisce all'atto di ottenere l'accesso a un sistema informatico, una rete o un'applicazione senza un permesso o un'autorizzazione esplicita.
Come riportato di recente, la filiale indonesiana della Commonwealth Bank of Australia è stata recentemente colpita da un grave incidente che ha comportato l'accesso non autorizzato a un'applicazione software basata sul web utilizzata per la gestione dei progetti. Analogamente, AT&T ha recentemente annunciato pubblicamente che , nel mese di gennaio, una persona non autorizzata ha violato il sistema di un fornitore e ha ottenuto l'accesso alle informazioni di rete proprietarie dei clienti (CPNI) dell'azienda.
Ottenere visibilità e chiarezza grazie a strumenti specialistici riduce il carico di lavoro dei team di sicurezza e migliora notevolmente la capacità di un'organizzazione di comprendere le minacce e porvi rimedio in modo rapido ed efficace.
Il ruolo dell'intelligenza artificiale nella visibilità e nella sicurezza
L'intelligenza artificiale è uno strumento potente per migliorare la chiarezza dei segnali e massimizzare l'uso della nostra superficie di attacco, ora più visibile. L'intelligenza artificiale migliora la chiarezza dei segnali consentendoci di concentrarci sull'aspetto comportamentale degli attacchi e considerando tutti i possibili punti di infiltrazione.
Gli aggressori potrebbero anche utilizzare l'intelligenza artificiale o l'automazione per accelerare i loro attacchi, ma questo non cambia intrinsecamente il loro comportamento. Ci sono ancora alcune azioni che devono intraprendere per compromettere una rete, e questi indicatori comportamentali sono ciò che possiamo rilevare.
Molte organizzazioni ci riferiscono di ricevere troppi falsi positivi dai propri strumenti di sicurezza e che i team addetti alla sicurezza sono sommersi da informazioni che non sanno come gestire. Sfruttare l'intelligenza artificiale non significa sostituire gli esseri umani, ma rendere il nostro lavoro molto più efficiente e chiaro.
Rispondere alle minacce per proteggere i nostri sistemi e le nostre persone
Quando si tratta di reagire, dobbiamo sapere cosa fare con gli avvisi di attacco che ci arrivano, altrimenti tutta la nostra lucidità non serve a nulla.
In primo luogo, determiniamo la natura dell'attacco e, in secondo luogo, cosa fare al riguardo. Non può esserci una regola generale, dobbiamo essere flessibili, ma possiamo creare procedure ripetibili che incorporino la flessibilità. Metriche come il tempo medio di risoluzione possono dimostrare il valore e i vantaggi dell'IA in termini di risultati e rendimenti reali.
In futuro prevediamo che i CISO e i responsabili della sicurezza investiranno maggiormente in strumenti che migliorano l'efficienza e supportano i team di sicurezza nell'analisi degli avvisi e nell'individuazione delle minacce in un panorama di attacchi sempre più vasto e diffuso. Le soluzioni esistono e migliorano continuamente, basta solo capire quali sono e come possono essere integrate per ottenere il massimo beneficio.
Sei pronto a reagire e a eliminare la minaccia sconosciuta?