Quando le minacce diventano più evidenti, è importante porsi la domanda: che cosa porta effettivamente chiarezza? È una domanda con cui possiamo lottare, ma forse non la stiamo affrontando nel modo giusto.
Questo è un periodo in cui le grandi aziende fanno notizia per tutti i motivi sbagliati. Latitude Financial, fornitore di servizi finanziari che opera in Australia e Nuova Zelanda, ha reso noti i dettagli di un attacco informatico e di una violazione dei dati che ha colpito 225.000 clienti.
In uno stato del genere, la visibilità è fondamentale e l'intelligenza artificiale (AI) ci offre una maggiore capacità di comprendere la nostra superficie di attacco e di intercettare rapidamente le minacce.
Portare alla luce le incognite per migliorare la postura di sicurezza
Consideriamo innanzitutto le incognite. Gli ultimi due anni hanno portato a cambiamenti significativi nel nostro modo di lavorare, che hanno portato a una superficie di attacco più ampia, a un maggior numero di vulnerabilità ed exploit, a un maggior numero di strumenti e avvisi e a team più piccoli e sovraccarichi di lavoro. Nel frattempo, gli aggressori sono più evasivi e più sofisticati nei loro metodi di infiltrazione.
È vero che spesso la nostra superficie di attacco è molto più ampia di quanto pensiamo. Non è una statistica rara vedere solo il 50% delle risorse registrate come endpoint, con gli indirizzi IP aggiuntivi di router, switch, stampanti, telecamere, telefoni e altri servizi. Questi indirizzi IP aggiuntivi potrebbero essere dispositivi personali su una rete guest, servizi di cloud computing e carichi di lavoro di container, o anche servizi di applicazioni server tradizionali che eseguono attività che non vengono monitorate.
Ottenere visibilità su una superficie di attacco significa comprendere i vettori di minaccia che vanno al di là di ciò che l'azienda possiede. Considerate l'accesso non autorizzato. Un termine sempre più comune, che si riferisce all'atto di accedere a un sistema informatico, a una rete o a un'applicazione senza un permesso o un'autorizzazione espliciti, come suggerisce il nome.
Come è stato recentemente riportato, l'unità indonesiana della Commonwealth Bank of Australia è stata di recente pesantemente colpita da un incidente che ha riguardato l'accesso non autorizzato a un'applicazione software basata sul web utilizzata per la gestione dei progetti. Analogamente, AT&T ha annunciato pubblicamente che a gennaio una persona non autorizzata ha violato il sistema di un fornitore e ha avuto accesso alle Customer Proprietary Network Information (CPNI) dell'azienda.
Ottenere visibilità e chiarezza attraverso strumenti esperti riduce l'onere per i team di sicurezza e migliora notevolmente la capacità di un'organizzazione di comprendere le minacce e di porvi rimedio in modo rapido ed efficace.
Il ruolo dell'intelligenza artificiale nella visibilità e nella sicurezza
L'intelligenza artificiale è uno strumento potente per favorire la chiarezza del segnale e massimizzare l'uso della nostra superficie di attacco, ora più visibile. L'intelligenza artificiale migliora la chiarezza del segnale consentendoci di concentrarci sull'aspetto comportamentale degli attacchi e di considerare tutti i possibili punti di infiltrazione.
Gli aggressori possono anche utilizzare l'intelligenza artificiale o l'automazione per accelerare i loro attacchi, ma questo non cambia intrinsecamente il loro comportamento. Ci sono ancora determinate azioni che devono compiere per compromettere una rete e questi marcatori comportamentali sono quelli che possiamo rilevare.
Molte organizzazioni ci dicono che ricevono troppi falsi positivi dai loro strumenti di sicurezza e che i team di sicurezza sono sommersi da informazioni di cui non sanno cosa fare. Sfruttare l'IA non significa sostituire un essere umano, ma rendere il nostro lavoro molto più efficiente e chiaro.
Rispondere alle minacce per proteggere i nostri sistemi e le nostre persone
Per quanto riguarda la risposta, dobbiamo sapere cosa fare con gli avvisi di attacco che ci arrivano, altrimenti tutta la nostra chiarezza non serve a nulla.
In primo luogo, determiniamo quale sia l'attacco e, in secondo luogo, cosa fare al riguardo. Non può esistere una regola generale, dobbiamo essere flessibili, ma possiamo creare procedure ripetibili che abbiano una certa flessibilità. Metriche come il tempo trascorso dalla bonifica possono mostrare il valore e i benefici dell'IA in termini di risultati e ritorni reali.
In futuro ci aspettiamo che i CISO e i leader della sicurezza investano di più in strumenti che migliorino l'efficienza e supportino i team di sicurezza nel vagliare gli avvisi e scoprire le minacce in un panorama di attacchi vasto e frammentato. Le soluzioni ci sono e migliorano continuamente, si tratta solo di capire quali sono e come possono essere integrate per ottenere il massimo beneficio.
Siete pronti a rispondere e a cancellare la minaccia sconosciuta?