Ci vengono poste molte domande sull'intelligenza artificiale. Per lo più riguardanti la sicurezza informatica. Per lo più. Ogni tanto mi capita di sentirmi chiedere: "Allora, quando l'intelligenza artificiale sostituirà il tuo lavoro?". Ma posso confermare che questo post l'ho scritto davvero io. Per quanto riguarda il prossimo...
Ma gli acquirenti di soluzioni di sicurezza sono intelligenti. E considerando che i team di sicurezza aziendali possono gestire fino a 70 strumenti di sicurezza nello stack, ci sono molte affermazioni relative all'IA che dovrebbero indurre i team di sicurezza a chiedere conto ai fornitori.
E dato che l'intelligenza artificiale è stata al centro di tutto ciò che abbiamo fatto come azienda per oltre un decennio, abbiamo compilato un elenco di domande che potete utilizzare per capire quanto saranno efficaci i fornitori che dichiarano di utilizzare l'"intelligenza artificiale" nel vostro stack. E, dato che lo avete chiesto, sì, può semplificarvi il lavoro (maggiori dettagli in seguito), no, non dovete alimentarlo (anche se digerisce le informazioni a una velocità incredibile) e sì, è un ottimo compagno quotidiano nel SOC.
1. Come si utilizza l'intelligenza artificiale per rilevare e bloccare gli attacchi informatici?
Importanza: indipendentemente da ciò che alcuni fornitori potrebbero dirvi, non esiste un unico algoritmo o modello di apprendimento che funga da soluzione miracolosa in grado di risolvere ogni problema, ma piuttosto algoritmi ottimali per ogni problema che nella sicurezza informatica generano un segnale di attacco.
Vuoi scoprire in che modo un fornitore ti aiuterà ad affrontare gli attacchi informatici, e questo dipenderà dalla chiarezza dei segnali. Il loro segnale di attacco si concentra sulle TTP degli aggressori dopo la compromissione? In che modo? Analizzerà i modelli di rilevamento specifici del tuo ambiente? In che modo? E metterà in correlazione i rilevamenti su tutte le superfici di attacco attuali e future: rete, cloud pubblico, identità, SaaS, ecc.?
> Impara a distinguere tra intelligenza artificiale, Machine Learning Deep Learning
2. In che modo il vostro sistema di segnalazione degli attacchi basato sull'intelligenza artificiale individua i comportamenti dei cybercriminali?
Importanza: Ponendo questa domanda, potrai approfondire il funzionamento dell'IA dietro le quinte nel tuo ambiente per rilevare e dare priorità agli attacchi. Scopri se hanno un'ampia copertura per i comportamenti degli aggressori, come comando e controllo, movimento laterale, ricognizione, ecc.
Esistono alcune risorse utili che i difensori possono utilizzare per assicurarsi di essere coperti dalle tattiche e dalle tecniche di attacco più recenti. Una di queste è MITRE ATT&CK , una base di conoscenze accessibile a livello globale sui metodi utilizzati dagli avversari. Questa è solo una delle possibilità, ma è possibile chiedere ai fornitori in che modo i loro sistemi di rilevamento si allineano a MITRE ATT&CK. Ad esempio, Vectra Attack Signal Intelligence copre oltre il 90% delle MITRE ATT&CK rilevanti: da lì, possiamo mostrare ai clienti come la nostra IA è in grado di rilevare un particolare metodo.
Puoi vedere come vengono rilevati e classificati in ordine di priorità i metodi utilizzati dagli aggressori reali in una delle nostre analisi degli attacchi.
Oppure leggi:
> Scegliere un algoritmo ottimale Machine Learning
3. In che modo la vostra IA assegna priorità alle minacce che prendono di mira host e account ad alto rischio, in modo che gli analisti sappiano cosa è urgente?
Importanza: i team SOC ricevono in media 4.484 avvisi al giorno. Non hanno bisogno di ulteriori avvisi, ma piuttosto di un modo per capire quali sono quelli importanti. Una corretta prioritizzazione basata sull'intelligenza artificiale aiuterà gli analisti a capire su cosa concentrare il proprio tempo.
Porre questa domanda ti aiuterà a determinare come funziona il modello di prioritizzazione di un fornitore. È importante sapere quali fonti di dati vengono prese in considerazione nell'equazione, il che aiuterà anche a capire quanto un fornitore sia trasparente e disponibile riguardo ai propri algoritmi e al modo in cui arriva a un punteggio di minaccia. È possibile scoprire in che modo l'IA correla i rilevamenti delle minacce su diverse superfici di attacco e come li valuta per creare una classificazione di urgenza che un analista può utilizzare a proprio vantaggio e, in ultima analisi, dare priorità ai rischi più urgenti.
4. In che modo la vostra IA ridurrà il carico di lavoro dei miei analisti della sicurezza?
Importanza: Vectra AI recente Vectra AI ha rivelato che la maggior parte degli analisti SOC afferma che la superficie di attacco della propria organizzazione (63%), il numero di strumenti di sicurezza (70%) e gli avvisi (66%) che gestiscono sono aumentati in modo significativo negli ultimi tre anni.
Quando si tratta di rilevare le minacce, la tua IA dovrebbe fare di più che limitarsi a fornire un maggior numero di rilevamenti. Cosa faremo con gli oltre 4.000 avvisi che già riceviamo ogni giorno? Aggiungerne altri? No, grazie. Dovremmo invece mettere al lavoro l'IA. Un segnale di attacco basato sull'intelligenza artificiale può automaticamente classificare e dare priorità ai rilevamenti specifici del vostro ambiente, riducendo notevolmente il rumore di rilevamento/allerta (fino all'80%) e generando un indice di urgenza dell'attacco, in modo che il vostro SOC sia pronto a fare ciò che sa fare meglio: fermare gli attacchi, non gestire gli avvisi.
5. In che modo l'IA aiuterà il mio team a indagare e rispondere agli incidenti in modo più efficiente?
Importanza: la latenza è la migliore alleata degli hacker ibridi. La tua soluzione di intelligenza artificiale dovrebbe fornire agli analisti un vantaggio competitivo condividendo il contesto degli attacchi alle entità prioritarie con opzioni di risposta automatizzate e manuali.
Disponete già di processi di risposta agli incidenti che includono persone, procedure e tecnologia. L'intelligenza artificiale dovrebbe integrarsi con il vostro processo di risposta agli incidenti, ovvero dove lavora attualmente il vostro team. La soluzione di intelligenza artificiale giusta fornirà un punto di partenza e una guida per le indagini attraverso la propria interfaccia o all'interno degli strumenti esistenti (preferibilmente entrambi), in modo da avere una visione completa dell'attacco e poter intraprendere azioni intelligenti quando necessario.
6. In che modo la vostra soluzione di IA si integrerà con il mio attuale stack di sicurezza?
Importanza: comprendere come il segnale AI sarà integrato con gli investimenti esistenti in materia di sicurezza. Sarà possibile sfruttarlo laddove il team opera già?
Proprio come i fornitori dovrebbero essere ritenuti responsabili dell'efficacia del loro segnale, dovrebbero anche essere ritenuti responsabili di garantire che ogni aspetto del processo di implementazione sia coperto in modo da renderlo il più chiaro e fluido possibile. Nello specifico, per quanto riguarda il rilevamento e la risposta alle minacce, la vostra soluzione di IA dovrebbe fornire informazioni all'infrastruttura esistente e rendere più facile per il vostro team rispondere alle minacce urgenti, contribuendo al contempo a massimizzare gli investimenti attuali.
7. Offrite esercitazioni red team basate sull'intelligenza artificiale o servizi di penetration testing per convalidare ulteriormente il vostro segnale di attacco?
Importanza: i test nel mondo reale sono fondamentali per convalidare l'efficacia dell'IA. La fiducia dei fornitori dovrebbe estendersi alla copertura dei costi di test nel caso in cui il loro prodotto non raggiunga le prestazioni previste.
Qualsiasi tecnologia di intelligenza artificiale utilizzata per il rilevamento e la risposta alle minacce deve comprendere le TTP utilizzate dagli attacchi ibridi odierni. Uno dei modi migliori per sapere con certezza se la soluzione è all'altezza del compito è simulare attacchi ibridi reali emulando metodi di attacco sia comuni che sofisticati. Più accurato è il segnale di attacco ibrido, più gli analisti SOC sanno dove concentrare il loro tempo e il loro talento.
8. Cosa possiamo aspettarci dall'implementazione dell'IA dal punto di vista dell'esperienza degli analisti e degli investimenti?
Importanza: discutete con i fornitori su cosa significhi il successo per il vostro team in questi tre ambiti.
Comprendere quale sarà la curva di apprendimento per i membri del team che utilizzeranno lo strumento. Gli strumenti di rilevamento e risposta alle minacce, come XDR, vengono spesso citati per la loro eccessiva complessità. Un analista non dovrebbe dover faticare per ottenere risposte, anzi, dovrebbe essere il contrario. Una buona soluzione è quella che viene utilizzata, quindi assicuratevi che si adatti al flusso di lavoro del SOC, il che alla fine contribuirà a renderla un buon investimento.
9. Quali carichi di lavoro SOC possono essere trasferiti alla vostra soluzione AI?
Importanza: Secondo Gartner, entro il 2025 il 90% dei SOC del G2000 utilizzerà un modello ibrido, esternalizzando almeno il 50% del proprio carico di lavoro operativo.
Se il carico di lavoro degli analisti SOC continua ad aumentare, quale parte del loro lavoro può essere affidata a un servizio gestito? Abbiamo parlato di come l'IA aiuti i team SOC a ridurre la latenza e i carichi di lavoro producendo un segnale di minaccia di alta qualità, ma avere la possibilità di aggiungere servizi gestiti a quel segnale può alleggerire compiti come il monitoraggio delle minacce 24 ore su 24, 7 giorni su 7, 365 giorni all'anno, la messa a punto del rilevamento e il triage o altre attività che sottraggono tempo agli analisti, ottenendo al contempo un ampliamento del proprio team con esperti di IA e piattaforme.
L'intelligenza artificiale si traduce in un segnale di attacco integrato nel vostro SOC?
Negli ultimi due anni l'intelligenza artificiale ha sicuramente fatto passi da gigante, accompagnata da ogni tipo di promessa, spesso da parte di fornitori che hanno deciso di saltare sul carrozzone perché non potevano permettersi di rimanere fuori dal mercato. Ma porre le domande giuste può aiutare a distinguere i fornitori che saranno solo un altro strumento nella pila da quelli che possono effettivamente aiutare i difensori ad affrontare le sfide degli attacchi ibridi, come la latenza, i carichi di lavoro e il burnout nel SOC. È responsabilità del fornitore fornire il segnale di attacco che vi aiuterà a fermare gli attacchi: potremmo anche ritenerli responsabili di farlo.