La difesa dagli attacchi informatici è compromessa? In qualità di Product Marketing Manager presso Vectra AI, ho partecipato recentemente per la prima volta al Gartner Security and Risk Summit di Londra e questa è stata la mia prima domanda. Subito dopo la prima sessione principale, ho avuto la conferma che la spirale del "di più" è reale nella sicurezza informatica. Più attacchi, più strumenti, più avvisi e più burnout.
Durante tutta la conferenza, ho riscontrato ripetutamente gli stessi tre temi:
- Come possiamo ottenere risultati efficaci ed efficienti in materia di sicurezza senza sovraccaricare le nostre risorse e capacità?
- Come possiamo sfruttare l'intelligenza artificiale per difenderci dagli aggressori in continua evoluzione che stanno adottando l'intelligenza artificiale?
- In che modo il nostro Security Operations Center (SOC) può proteggere le identità dall'utilizzo da parte degli aggressori?
In questo post del blog condividerò alcuni dei punti chiave emersi dal summit e l'approccio unico Vectra AIper affrontare queste questioni.
Mentalità minima efficace
Il primo concetto da tenere a mente è quello di "mentalità minima efficace", ovvero l'idea di trovare il giusto equilibrio tra sicurezza e semplicità.
Set minimo di strumenti efficaci
Un numero maggiore di strumenti non garantisce una protezione migliore. Sebbene il 75% delle organizzazioni stia perseguendoil consolidamento deifornitori1, alla fine utilizza più strumenti e tecnologie poiché i responsabili della sicurezza continuano a ritenere che non siano adeguatamenteprotetti2. I team di sicurezza dovrebbero puntare al minor numero possibile di tecnologie necessarie per osservare, difendere e rispondere ai tentativi di sfruttamento. Nel valutare l'efficacia degli strumenti, i team di sicurezza sono incoraggiati a considerare l'interoperabilità tra gli strumenti e il tempo e lo sforzo necessari per gestirli, mantenerli e utilizzarli.
Competenza minima efficace
Un numero maggiore di professionisti della sicurezza informatica non garantisce necessariamente una protezione migliore. Con una crescita del 65% della domanda di talenti nel campo della sicurezza informatica in un mercato che registra già unacarenza di 3,4 milioni diprofessionisti34, assumere più esperti non è la risposta al problema dell'aumento degli attacchi sofisticati. Pertanto, i team di sicurezza dovrebbero concentrarsi sullo sviluppo di competenze minime efficaci. Un esempio è quello di sfruttare l'intelligenza artificiale per ridurre la quantità di attività ripetitive e noiose.
Rilevamento e risposta integrati alle minacce di attacchi ibridi Vectra AI
Con la piattaforma Vectra AI, i comportamenti degli aggressori sono visibili su reti, identità, cloud pubblico e SaaS. I segnali sono integrati tra i domini per eliminare la latenza nei processi di rilevamento, indagine e risposta. La nostra soluzione aumenta la produttività degli analisti SOC di oltre il doppio, riducendo gli avvisi falsi dell'80%. Riduciamo inoltre i tempi di progettazione del rilevamento da mesi a giorni, sfruttando oltre 150 modelli di rilevamento predefiniti. Il nostro strumento dispone di oltre 40 integrazioni predefinite tra strumenti EDR, SIEM, SOAR e ITSM, garantendo l'interoperabilità con gli strumenti esistenti.
Difesa AI contro gli attacchi AI
Il secondo punto da tenere presente è la necessità di utilizzare efficacemente l'IA per difendersi da aggressori sempre più sofisticati che stanno adottando l'IA per automatizzare e ottimizzare le loro attività dannose. Sebbene la maggior parte dei fornitori di soluzioni di sicurezza affermi di utilizzare l'IA nella propria tecnologia, è più importante che i team di sicurezza mantengano un approccio critico e pongano le domande giuste per valutare i propri strumenti. Ad esempio, il loro approccio AI/ML si limita a rilevare anomalie e richiede una costante messa a punto e manutenzione da parte dell'uomo? La loro ricerca si concentra solo su strumenti/gruppi di attacco specifici che saranno difficili da applicare alle tecniche più recenti? Il loro algoritmo funziona su batch periodici che potrebbero causare un ritardo negli avvisi e fornire agli aggressori l'opportunità di portare avanti i loro attacchi? Anche se i fornitori danno risposte perfette, la convalida è fondamentale per evitare che facciano promesse eccessive e non mantengano gli impegni. I team di sicurezza sono incoraggiati a utilizzare metodi sia interni che esterni, come strumenti di simulazione degli attacchi e servizi di convalida di terze parti.
L'approccio unico Vectra AIAI per individuare gli attacchi che altri non riescono a rilevare
Per difenderci efficacemente dagli attacchi AI, dobbiamo adottare il punto di vista dell'aggressore nella difesa AI. Vectra AI 35 brevetti nel campo del rilevamento delle minacce basato sull'intelligenza artificiale ed è il fornitore più citato da MITRE D3FEND. I nostri rilevamenti si concentrano esplicitamente sull'individuazione degli aggressori e sull'identificazione dei metodi utilizzati dagli aggressori in azione, non solo sulle anomalie. I nostri algoritmi AI basati sulla sicurezza studiano come i singoli eventi siano correlati a incidenti di sicurezza perseguibili. Il nostro sistema brevettato Attack Signal IntelligenceTM utilizza l'AI/ML per analizzare i comportamenti degli aggressori e i modelli di traffico specifici dell'ambiente del cliente, al fine di ridurre il rumore degli avvisi e far emergere solo gli eventi rilevanti e realmente positivi. Il nostro team di ricerca e sviluppo non solo monitora e rivede costantemente i metodi degli aggressori, ma studia anche i metodi generali che utilizzano. Ciò garantisce che Vectra AI costruire una copertura sia per gli strumenti che eseguono attacchi oggi sia per quelli che saranno sviluppati in futuro. Poiché la velocità di rilevamento è importante, i nostri algoritmi funzionano su dati in streaming invece che su batch periodici, per garantire tempo sufficiente per fermare la progressione degli aggressori.
Identity Fabric nel SOC
Dato che l'intelligenza artificiale è la strada da seguire, dove può essere implementata per ottenere il massimo valore nel minor tempo possibile? Questo mi porta alla terza conclusione: i team SOC dovrebbero sfruttare l'intelligenza artificiale per il rilevamento e la risposta agli attacchi all'identità. L'84% delle organizzazioni subisceviolazioni legateall'identità5. Gli aggressori spesso prendono di mira le credenziali e i privilegi degli utenti, in particolare dei super amministratori, per ottenere l'accesso e muoversi lateralmente attraverso le reti. Le recenti violazioni di MGM e Caesar's Palace ne sono un esempio lampante. Per affrontare questo problema, dobbiamo pensare oltre la prevenzione. La prevenzione può fallire, soprattutto perché gli esseri umani sono spesso l'anello più debole della sicurezza informatica. Una mia collega mi ha recentemente raccontato che il suo accesso all'account di super amministratore del suo ex datore di lavoro è stato revocato solo sei mesi dopo aver lasciato l'azienda. Immaginate cosa possono fare gli aggressori. Abbiamo bisogno di visibilità sul comportamento degli aggressori tra l'accesso iniziale all'identità e il raggiungimento del tesoro più prezioso. Dobbiamo rilevare quando un account con privilegi viene preso di mira e quando gli aggressori si muovono lateralmente attraverso le reti e cloud .
L'IDR Vectra AIblocca gli attacchi prima che raggiungano il gioiello della corona
La soluzione IDR Vectra AIconsente di rilevare le minacce sia in ambienti di rete (ActiveDirectory) che cloud Azure AD e M365), offrendo una visibilità ibrida integrata. La nostra tecnologia brevettata Privilege Account Analytics apprende i privilegi degli account per aiutare gli analisti della sicurezza a individuare automaticamente e concentrarsi sugli account più utili agli aggressori.
Riflettendo sui tre giorni di conferenza, mi rendo conto che è necessario un cambiamento radicale per affrontare la spirale del "di più". Con una mentalità minimamente efficace per intraprendere un percorso di difesa efficace dall'IA, spero che potremo continuare a collaborare con un numero sempre maggiore di team di sicurezza per impedire agli aggressori di avere un impatto sulla vostra organizzazione.
Per saperne di più su come Vectra AI accompagnarti nel tuo percorso verso la sicurezza informatica, visita la nostra pagina dedicata alla piattaforma e richiedi una demo oggi stesso.
3 Studio ISC2 sulla forza lavoro nel settore della sicurezza informatica 2021
4 Studio ISC2 sulla forza lavoro nel settore della sicurezza informatica 2022