Nel primo blog di questa serie, abbiamo decodificato alcune parole d'ordine dell'AI/ML e spiegato perché Vectra abbraccia con orgoglio il termine "AI" per ciò che fa. Ora daremo un'occhiata più da vicino alle metodologie di applicazione dell'IA al rilevamento e alla risposta alle minacce. In particolare, contrapporremo l'approccio guidato dalla sicurezza, di cui Vectra è stata pioniera, all'approccio matematico utilizzato da altri fornitori. Per una spiegazione approfondita di come Vectra utilizza la scienza dei dati e l'intelligenza artificiale per rilevare e bloccare gli aggressori, è possibile consultare il white paper The AI Behind Vectra AI.
Rilevamento guidato dalla sicurezza o dalla matematica
Per applicare l'AI/ML al rilevamento delle minacce si utilizzano due approcci principali: quello guidato dalla sicurezza e quello guidato dalla matematica.
L'approccio matematico rileva le anomalie di base
L'approccio guidato dalla matematica inizia con i data scientist che generano statistiche di base e novità sull'ambiente. Quanto è comune o rara una destinazione, un dominio o un IP? Qual è il numero tipico di connessioni SMB all'ora per questo IP? Questo account si è mai collegato da questo IP? I ricercatori di sicurezza utilizzano poi queste statistiche per costruire centinaia di regole, vere e proprie firme, che hanno una componente di anomalia di base.
Ad esempio, il cuore di un modello di tunnel di comando e controllo (C2) cercherà connessioni multiple in un determinato periodo di tempo verso una destinazione che è sia nuova per questa rete sia rara (non molti sistemi comunicano con essa). Probabilmente ci saranno decine di questi modelli che variano i tassi di connessione, la rarità e la novità nel tentativo di bilanciare la copertura e il rumore.
A prima vista, questo sembra un approccio ragionevole. Certo, il risultato è un mosaico di TANTI modelli ristretti che il team deve comprendere, mantenere e mettere a punto. E può essere sconfitto da un attaccante che contatta la destinazione e poi aspetta un paio di giorni, ma quanto spesso accadrà? Inoltre, può essere sconfitto da tecniche comuni come il domain fronting, che eludono il rilevamento aggirando il requisito di rarità. Queste limitazioni sono preoccupanti, ma forse possiamo ancora convincerci che si tratta di un compromesso accettabile.
Il vero problema, però, è che anche con tanti vincoli, questi modelli rimangono molto rumorosi. È necessario aggiungere altri filtri. I filtri equivalgono a punti ciechi. I modelli reali di fornitori noti in questo settore filtrano tutte le destinazioni che si trovano nelle nuvole comuni e tutte le fonti che sono mobili/tablet, infrastrutture (router, firewall, ecc.) e IoT come i telefoni IP. Questi enormi punti ciechi devono essere aggiunti solo per ridurre il rumore in modo tale da rendere il sistema praticabile.
Non pensiamo che sia sufficiente.
L'approccio guidato dalla sicurezza individua i metodi di attacco
L'approccio basato sulla sicurezza capovolge le cose. Anziché partire dalle statistiche, inizia con la comprensione del problema da risolvere. Ciò significa che i ricercatori della sicurezza definiscono i metodi di attacco importanti che dobbiamo essere in grado di rilevare, in linea con framework come MITRE ATT&CK e D3FEND. È importante notare che questo NON significa concentrarsi su strumenti o exploit specifici, ma piuttosto sui metodi sottostanti in gioco. I metodi cambiano molto lentamente nel tempo, il che li rende ancore stabili per il rilevamento.
Una volta definito chiaramente il metodo di attacco, la ricerca sulla sicurezza e la scienza dei dati collaborano strettamente per costruire un modello di rilevamento accurato: valutazione dei dati, scelta dell'approccio di ML adatto ai dati e al problema, costruzione, test e perfezionamento su base continua per garantire la precisione.
Nella metodologia guidata dalla sicurezza, il problema dei tunnel C2 viene risolto con una rete neurale ricorrente (LSTM) addestrata con decine di migliaia di campioni di traffico di tunnel provenienti da molti strumenti diversi che fanno molte cose diverse, insieme a un ampio corpus di traffico non di tunnel. La rete neurale LSTM impara effettivamente (si tratta di deep learning) cosa sia un tunnel in qualsiasi rete, utilizzando qualsiasi strumento. Funziona anche con il traffico crittografato e non ha punti ciechi basati sulla destinazione o sul tipo di sistema di origine.
Controintuitivamente, l'uso di una metodologia guidata dalla sicurezza libera il team di scienza dei dati di sfoderare le armi più grandi: approcci specializzati per problemi specializzati. Come l'utilizzo di una rete neurale ricorrente per il rilevamento dei tunnel. L'approccio guidato dalla matematica, invece, costringe gli scienziati dei dati al minimo comune denominatore, utilizzando anomalie statistiche semplici e generiche che il lato sicurezza può inserire in una serie di modelli diversi senza una comprensione approfondita di ciò che fanno.
La sicurezza guidata richiede maggiori competenze trasversali, dati speciali, più tempo e una piattaforma che abbia la flessibilità necessaria per eseguire questo tipo di modello a velocità elevata. Per questo motivo, molti fornitori se ne tirano indietro, nonostante il fatto che garantisca risultati migliori in termini di sicurezza.
Perché è importante
L'utilità del rilevamento delle minacce si basa sulla velocità. Ciò non significa solo che il sistema deve operare quasi in tempo reale (anche se questo è importante), ma anche che il sistema deve rilevare cose utili senza seppellire l'operatore nel rumore.
L'approccio basato sulla sicurezza offre una migliore copertura di ciò che conta (riduce i punti ciechi!) e crea un numero molto inferiore di avvisi che i team devono passare al setaccio: una riduzione dell'85%, secondo un cliente che di recente è passato da un noto fornitore di math-led a Vectra.
Nel prossimo blog analizzeremo la differenza di copertura tra security-led e math-led sul problema di sicurezza più importante di oggi: il ransomware (o, più precisamente, ransomOps).
Approfondite l'approccio basato sulla sicurezza di Vectra e il suo confronto con i nostri concorrenti.
Inoltre, assicuratevi di leggere il white paper gratuito, The AI Behind Vectra AI, per scoprire come la scienza dei dati e l'IA possono dare ai difensori un vantaggio sui cyberattaccanti.