Ci vengono poste molte domande sull'IA. Per lo più relative alla cybersicurezza. Per lo più. Di tanto in tanto mi viene chiesto: "Allora, quando l'IA prenderà il posto del tuo lavoro?". Ma posso confermare di aver effettivamente scritto questo post. Per quanto riguarda il prossimo...
Ma gli acquirenti di sicurezza sono intelligenti. E considerando che i team di sicurezza aziendali possono gestire fino a 70 strumenti di sicurezza nello stack, ci sono molte affermazioni relative all'IA che dovrebbero indurre i team di sicurezza a chiedere conto ai fornitori.
Poiché l'intelligenza artificiale è stata al centro di tutto ciò che abbiamo fatto come azienda per oltre un decennio, abbiamo compilato un elenco di domande che potete utilizzare per capire quanto saranno efficaci i fornitori che dichiarano di utilizzare l'intelligenza artificiale nel vostro stack. E visto che ce l'avete chiesto, sì, può semplificare il vostro lavoro (per saperne di più), no, non dovete nutrirla (anche se digerisce le informazioni a una velocità incredibile) e sì, è un ottimo compagno quotidiano nel SOC.
1. Come si utilizza l'IA per rilevare e bloccare i cyberattacchi?
Importanza: A prescindere da ciò che potrebbero dire alcuni venditori, non esiste un singolo algoritmo o modello di apprendimento che agisca come proiettile d'argento in grado di risolvere ogni problema, ma piuttosto algoritmi ottimali per ogni problema che nella cybersecurity genera un segnale di attacco.
Volete scoprire in che modo un fornitore vi aiuterà ad affrontare i cyberattacchi, e questo si riduce alla chiarezza del segnale. Il loro segnale di attacco si concentra sulle TTP degli aggressori dopo la violazione? Come? Analizzerà i modelli di rilevamento unici del vostro ambiente? Come? E metterà in relazione i rilevamenti su tutte le superfici di attacco attuali e future: rete, cloud pubblico, identità, SaaS, ecc.
> Imparare a distinguere AI, Machine Learning e Deep Learning
2. In che modo il vostro segnale di attacco guidato dall'intelligenza artificiale individua i comportamenti dei cyber-attaccanti?
Importanza: Ponendo questa domanda, sarete in grado di capire meglio come l'IA lavorerà dietro le quinte nel vostro ambiente per rilevare e dare priorità agli attacchi. Scoprite se hanno un'ampia copertura per i comportamenti degli aggressori, come il comando e il controllo, il movimento laterale, la ricognizione, ecc.
Esistono alcune risorse utili che i difensori possono utilizzare per assicurarsi di avere una copertura per le tattiche e le tecniche di attacco più attuali. Una di queste è MITRE ATT&CK - una base di conoscenza dei metodi degli avversari accessibile a livello globale. Questa è solo una delle strade percorribili, ma è possibile chiedere ai fornitori come i loro rilevamenti si adattano a MITRE ATT&CK. Ad esempio, Vectra Attack Signal Intelligence ha una copertura di oltre il 90% delle tecniche pertinenti MITRE ATT&CK : da qui possiamo mostrare ai clienti come la nostra AI sia in grado di rilevare un particolare metodo.
Potete vedere come i metodi di attacco reali vengono rilevati e classificati in base alle priorità in una delle nostre anatomie di attacco.
Oppure leggere di:
> Scegliere un algoritmo ottimale nell'Machine Learning
3. In che modo la vostra IA dà priorità alle minacce che colpiscono gli host e gli account ad alto rischio, in modo che gli analisti sappiano quali sono le cose più urgenti?
Importanza: I team SOC ricevono in media 4.484 avvisi al giorno. Non hanno bisogno di più avvisi, ma piuttosto di un modo per sapere quali sono importanti. La giusta prioritizzazione dell'IA aiuterà gli analisti a sapere dove concentrare il loro tempo.
Questa domanda aiuta a determinare il funzionamento del modello di prioritizzazione di un fornitore. Si vorrà sapere quali fonti di dati entrano nell'equazione, il che aiuterà anche a scoprire quanto il fornitore sia trasparente e disponibile sui suoi algoritmi e su come arriva a un punteggio di minaccia. È possibile scoprire come l'intelligenza artificiale mette in relazione i rilevamenti delle minacce su diverse superfici di attacco e come li valuta per creare un punteggio di urgenza che un analista può utilizzare a proprio vantaggio e, in ultima analisi, dare priorità ai rischi più urgenti.
4. In che modo la vostra IA ridurrà il carico di lavoro dei miei analisti di sicurezza?
Importanza: Una recente ricerca diVectra AI ha rivelato che la maggioranza degli analisti SOC afferma che le dimensioni della superficie di attacco della propria organizzazione (63%), il numero di strumenti di sicurezza (70%) e gli avvisi (66%) gestiti sono aumentati significativamente negli ultimi tre anni.
Quando si tratta di rilevare le minacce, l'intelligenza artificiale non deve limitarsi a fornire un maggior numero di rilevamenti. Cosa ne facciamo degli oltre 4.000 avvisi che già riceviamo ogni giorno: aggiungiamo altri avvisi? No, grazie. Dovremmo invece mettere l'intelligenza artificiale al lavoro. Un segnale di attacco guidato dall'intelligenza artificiale è in grado di assegnare automaticamente un triage e una priorità ai rilevamenti unici per il vostro ambiente, riducendo notevolmente il rumore dei rilevamenti/avvisi (fino all'80%) e generando al contempo una valutazione dell'urgenza dell'attacco, in modo che il vostro SOC sia armato per fare ciò che sa fare meglio: fermare gli attacchi, non gestire gli avvisi.
5. In che modo l'IA aiuterà il mio team a indagare e rispondere agli incidenti in modo più efficiente?
Importanza: La latenza è la migliore amica degli attaccanti ibridi. La vostra soluzione di intelligenza artificiale deve dare agli analisti un vantaggio, condividendo il contesto degli attacchi alle entità prioritarie con opzioni di risposta automatizzate e manuali.
Disponete già di processi di risposta agli incidenti che comprendono persone, processi e tecnologia. L'IA deve integrarsi con il vostro processo di risposta agli incidenti, dove il vostro team lavora attualmente. La giusta soluzione di IA fornirà un punto di partenza e una guida per le indagini attraverso la propria interfaccia o all'interno degli strumenti esistenti (preferibilmente entrambi), in modo da avere la narrazione completa dell'attacco per intervenire in modo intelligente quando necessario.
6. Come si integrerà la vostra soluzione AI con il mio attuale stack di sicurezza?
Importanza: Capire come il segnale dell'intelligenza artificiale si integrerà con gli investimenti esistenti in materia di sicurezza. Sarete in grado di sfruttarlo dove il vostro team già opera?
Così come i fornitori dovrebbero essere ritenuti responsabili dell'efficacia del loro segnale, dovrebbero anche essere tenuti a garantire che ogni aspetto del processo di implementazione sia coperto per renderlo il più chiaro e senza soluzione di continuità possibile. In particolare, per quanto riguarda il rilevamento e la risposta alle minacce, la soluzione di intelligenza artificiale deve fornire informazioni all'infrastruttura esistente e facilitare la risposta del team alle minacce più urgenti, contribuendo a massimizzare gli investimenti attuali.
7. Offrite esercitazioni di red team guidate dall'intelligenza artificiale o servizi di penetration test per convalidare ulteriormente il vostro segnale di attacco?
Importanza: I test nel mondo reale sono fondamentali per convalidare l'efficacia dell'IA. La fiducia dei fornitori dovrebbe estendersi alla copertura dei costi di test se il loro prodotto non è all'altezza.
Qualsiasi tecnologia di intelligenza artificiale utilizzata per il rilevamento e la risposta alle minacce deve comprendere i TTP utilizzati dagli odierni aggressori ibridi. Uno dei modi migliori per sapere con certezza se la soluzione è all'altezza del compito è simulare attacchi ibridi reali emulando metodi di attacco sia comuni che sofisticati. Più il segnale di attacco ibrido è preciso, più gli analisti SOC sanno dove concentrare il loro tempo e il loro talento.
8. Cosa possiamo aspettarci dal punto di vista dell'implementazione dell'IA, dell'esperienza degli analisti e degli investimenti?
Importanza: Parlate con i fornitori di ciò che rappresenta il successo per il vostro team in queste tre aree.
Capire quale sarà la curva di apprendimento per i membri del team che utilizzano lo strumento. Gli strumenti di rilevamento e risposta alle minacce, come l'XDR, sono regolarmente citati per la loro eccessiva complessità. Un analista non dovrebbe essere costretto a lavorare per ottenere risposte, anzi, dovrebbe essere il contrario. Una buona soluzione è quella che viene utilizzata, quindi assicuratevi che si inserisca nel flusso di lavoro del SOC, il che contribuirà a renderla un buon investimento.
9. Quali carichi di lavoro SOC possono essere scaricati sulla vostra soluzione AI?
Importanza: Secondo Gartner, entro il 2025 il 90% dei SOC del G2000 utilizzerà un modello ibrido esternalizzando almeno il 50% del proprio carico di lavoro operativo.
Se i carichi di lavoro degli analisti SOC continuano ad aumentare, quale parte del loro lavoro può essere affidata a un servizio gestito? Abbiamo detto che l'intelligenza artificiale aiuta i team SOC a ridurre la latenza e i carichi di lavoro producendo un segnale di minacce di alta qualità, ma l'opzione di aggiungere servizi gestiti in aggiunta a tale segnale può scaricare compiti come il monitoraggio delle minacce 24x7x365, la messa a punto del rilevamento e il triage o altri compiti che sottraggono tempo agli analisti, ottenendo al contempo un'estensione del team con esperti di intelligenza artificiale e di piattaforma.
L'AI si traduce in un segnale di attacco integrato nel vostro SOC?
Negli ultimi due anni l'intelligenza artificiale è arrivata a tutta velocità con affermazioni di ogni tipo, in molti casi da parte di fornitori che si sono buttati a capofitto perché non possono permettersi di non avere un punto di riferimento. Tuttavia, porre le domande giuste può aiutare a distinguere i fornitori che saranno solo un altro strumento nella pila da quelli che possono effettivamente aiutare i difensori a superare le sfide degli attacchi ibridi, come la latenza, i carichi di lavoro e il burnout del SOC. È responsabilità del fornitore fornire il segnale di attacco che vi aiuterà a bloccare gli attacchi: possiamo anche ritenerlo responsabile.