Il seguente articolo è la trascrizione di una recente intervista in cui Ed Amoroso, fondatore e CEO di TAG Infosphere e Mark Wojtasiak, vicepresidente del reparto Prodotti di Vectra AI come le organizzazioni possano utilizzare il giusto approccio all'intelligenza artificiale per difendersi con successo dagli attacchi ibridi odierni.
Ed: Poche aziende di sicurezza informatica vantano un'esperienza così approfondita nell'applicazione dell'intelligenza artificiale (AI) alla sicurezza informatica come Vectra AI. Hanno sviluppato una forte capacità nell'uso dell'AI per rilevare con precisione gli attacchi informatici, indagare e avviare una risposta, il che risponde chiaramente alle esigenze della maggior parte delle organizzazioni moderne che cercano di migliorare le proprie difese e quindi la propria resilienza agli attacchi.
Recentemente abbiamo trascorso del tempo con il Vectra AI per comprendere meglio come stanno utilizzando l'intelligenza artificiale per accelerare il rilevamento e la mitigazione delle minacce alla sicurezza informatica, nonché come i loro clienti stiano diventando sempre più dipendenti dall'intelligenza artificiale come componente fondamentale della loro difesa contro gli attacchi automatizzati.
Ed: Come funziona Vectra AIpiattaforma basata sull'intelligenza artificiale di Vectra AImigliora la capacità delle organizzazioni di rilevare e rispondere alle minacce informatiche in tempo reale? migliora la capacità delle organizzazioni di rilevare e rispondere alle minacce informatiche in tempo reale?
Mark: Pensiamo a questo in termini molto semplici. In sostanza, la capacità di un'organizzazione di rilevare e rispondere alle minacce informatiche in tempo reale si riduce a tre domande: siamo in grado di vederle? Siamo in grado di fermarle? Con quale rapidità possiamo individuarle e fermarle? Con l'espansione costante delle superfici di attacco, l'evoluzione dei metodi utilizzati dagli aggressori, l'emergere di nuove minacce e una raffica di avvisi, i metodi tradizionali di rilevamento e risposta alle minacce sono eccessivamente manuali, complessi e soggetti a latenza. Inoltre, la carenza di risorse e competenze SOC ha solo peggiorato la situazione e, quando si tratta di capire con quale rapidità possiamo individuarle e fermarle, la risposta è che non siamo abbastanza veloci.
Abbiamo una premessa che funge da base per la nostra piattaforma AI: le aziende moderne sono ibride, quindi tutti gli attacchi sono attacchi ibridi. Riteniamo che nelle moderne aziende ibride gli attacchi ibridi rendano inefficienti e inefficaci gli approcci tradizionali al rilevamento e alla risposta alle minacce. Per i team SOC, rilevare un attacco ibrido è come trovare un ago in un pagliaio. L'unico modo per trovare l'ago è pensare come un aggressore ibrido. Oggi pensiamo di avere singole superfici di attacco da gestire: endpoint, reti, identità, cloud, applicazioni di posta elettronica, ecc., ma gli aggressori ibridi vedono un'unica gigantesca superficie di attacco integrata. Integrata è la parola chiave e la nostra piattaforma è progettata per fornire ai difensori una visione integrata in tempo reale degli attacchi su tutta la superficie di attacco ibrida. Ciò elimina la complessità e la latenza nei processi di rilevamento, indagine e risposta e riduce drasticamente il carico di lavoro degli analisti SOC.
Ed: Puoi fornirci maggiori dettagli sulle tecniche e metodologie specifiche di intelligenza artificiale utilizzate da Vectra AI analizzare i comportamenti della rete e identificare attività dannose?
Mark: Vectra AI al rilevamento delle minacce combina l'esperienza umana con un'ampia gamma di tecniche di data science e machine learning avanzato. Questo modello fornisce un ciclo continuo di informazioni sugli attacchi basato su ricerche sulla sicurezza, modelli di apprendimento globali e locali, deep learning e reti neurali. Utilizzando algoritmi di rilevamento comportamentale per analizzare i metadati dei pacchetti catturati, la nostra IA per la sicurezza informatica rileva in tempo reale gli attacchi nascosti e sconosciuti, indipendentemente dal fatto che il traffico sia crittografato o meno. La nostra IA analizza solo i metadati acquisiti dai pacchetti, invece di eseguire un'ispezione approfondita dei pacchetti, per proteggere la privacy degli utenti senza curiosare nei payload sensibili.
L'apprendimento globale inizia con i Vectra AI Labs, un gruppo di esperti di sicurezza informatica e ricercatori sulle minacce che analizzano continuamente malware, strumenti di attacco, tecniche e procedure per identificare le tendenze nuove e mutevoli nel panorama delle minacce. Il loro lavoro fornisce informazioni ai modelli di scienza dei dati utilizzati dal nostro Attack Signal Intelligence, compreso l'apprendimento automatico supervisionato. Viene utilizzato per analizzare volumi molto grandi di traffico di attacchi e distillarlo fino a individuare le caratteristiche chiave che rendono unico il traffico dannoso.
L'apprendimento locale identifica ciò che è normale e anomalo nella rete di un'azienda per rivelare i modelli di attacco. Le tecniche chiave utilizzate sono l'apprendimento automatico non supervisionato e il rilevamento delle anomalie. Vectra AI modelli di apprendimento automatico non supervisionato per apprendere informazioni su un ambiente cliente specifico, senza la supervisione diretta di un data scientist. Anziché concentrarsi sulla ricerca e la segnalazione delle anomalie, Vectra AI indicatori di fasi importanti di un attacco o tecniche di attacco, inclusi i segnali che indicano che un aggressore sta esplorando la rete, valutando gli host per l'attacco e utilizzando credenziali rubate.
Il nostro motore di prioritizzazione basato sull'intelligenza artificiale combina migliaia di eventi e caratteristiche di rete in un unico rilevamento. Utilizzando tecniche quali la correlazione degli eventi e il punteggio degli host, la nostra intelligenza artificiale correla tutti gli eventi di rilevamento a host specifici che mostrano segni di comportamenti minacciosi. Quindi, valutiamo automaticamente ogni rilevamento e host in termini di gravità e certezza della minaccia utilizzando il nostro indice di certezza della minaccia.
Infine, monitoriamo ogni evento nel tempo e in ogni fase del ciclo di vita dell'attacco informatico, prestando particolare attenzione alle entità che rivestono un valore strategico per l'autore dell'attacco.
Ed: Cosa Vectra AI nella sicurezza informatica basata sull'intelligenza artificiale, in particolare in termini di scalabilità e adattabilità alle minacce in continua evoluzione?
Mark: Direi che è il nostro approccio. Dieci anni fa abbiamo creato una metodologia basata su cinque principi fondamentali dell'IA applicata alla sicurezza informatica:
1. Inizia con una corretta definizione del problema.
2. I dati giusti.
3. Sviluppare competenze ingegneristiche nel campo dell'apprendimento automatico.
4. Sbloccare l'innovazione ML con la piattaforma.
5. Convalida e migliora continuamente.
La nostra metodologia si basa sull'integrazione della ricerca sulla sicurezza, dell'ingegneria ML (la combinazione di scienza dei dati e ingegneria) e dell'esperienza utente (UX) incentrata su un unico obiettivo: utilizzare l'intelligenza artificiale per individuare i segnali di attacco all'interno dei dati in modo rapido e su larga scala. Disponiamo di oltre 150 modelli che spaziano dalle reti neurali, al ML supervisionato, al ML non supervisionato e al rilevamento delle novità, 12 riferimenti per MITRE D3FEND più di qualsiasi altro fornitore - e un effetto rete composto da oltre 1500 clienti che convalidano e migliorano continuamente i nostri rilevamenti AI sia per le tecniche di attacco esistenti che per quelle nuove che scopriamo. Ci sono casi in cui abbiamo identificato nuove tecniche di attacco e sviluppato rilevamenti prima che fossero pubblicati in MITRE ATT&CK , il che significa che i nostri clienti ottengono una copertura continua per le nuove tecniche di attacco senza alcun lavoro di ingegneria di rilevamento.
Ed: In che modo Vectra AI un numero minimo di falsi positivi e falsi negativi nei suoi algoritmi di rilevamento delle minacce basati sull'intelligenza artificiale?
Mark: Crediamo che rilevare e rispondere in tempo reale a quelli che chiamiamo attacchi ibridi sia possibile solo con l'AI. L'AI è l'unico modo per fornire ai team SOC ciò di cui hanno bisogno: segnali di attacchi ibridi integrati, accurati, rapidi e su larga scala. Lo chiamiamo il nostro Attack Signal Intelligence e utilizza l'IA per analizzare, classificare e correlare migliaia di eventi di rilevamento al giorno che riguardano reti, identità, cloud e applicazioni SaaS. Invece di fornire migliaia di avvisi su singoli eventi di minaccia, la nostra piattaforma di IA fornisce pochi avvisi al giorno sulle entità prioritarie, sia host che account, sotto attacco.
In termini molto semplici, la nostra IA risponde alle tre domande che gli analisti SOC devono porsi ogni giorno davanti ai loro monitor: questa minaccia è reale? Devo preoccuparmi? E quanto è urgente? In altre parole, vale la pena dedicarle il mio tempo e il mio talento? Uno dei nostri clienti lo ha espresso al meglio dicendo: "La Vectra AI aiuta i nostri ingegneri e analisti a eliminare l'ambiguità dalla loro giornata e a concentrarsi su ciò che conta".
Il nostro metodo è semplice. Sfruttiamo i nostri sistemi di rilevamento AI predefiniti, basati sul comportamento e specifici per dominio, per rendere noti gli attacchi sconosciuti. Utilizziamo l'AI per integrare e automatizzare la correlazione degli eventi di minaccia, eliminando la latenza dell'ingegneria di rilevamento. E, cosa più importante, utilizziamo l'AI per spostare l'esperienza degli analisti dal rilevamento delle minacce incentrato sugli eventi alla prioritizzazione dei segnali incentrata sulle entità, riducendo così il rumore e il carico di lavoro e massimizzando il valore del talento SOC esistente.
Ed: Guardando al futuro, quale ruolo pensi che avrà l'intelligenza artificiale nella difesa della sicurezza informatica e come si Vectra AI per guidare questa continua evoluzione?
Mark: Come ho detto prima, oggi rilevare e rispondere agli attacchi ibridi in tempo reale è possibile solo con l'AI. Il futuro che immaginiamo è un SOC completamente basato sull'intelligenza artificiale. La prima fase dell'evoluzione riguarda l'uso dell'intelligenza artificiale applicata alla difesa proattiva, dall'identificazione dei comportamenti emergenti degli aggressori al rilevamento e alla prioritizzazione delle entità nelle prime fasi di una campagna di attacco. Riteniamo che il nostro approccio basato sull'intelligenza artificiale e sull'apprendimento automatico, ovvero Attack Signal Intelligence nostra Attack Signal Intelligence il nostro motore di prioritizzazione incentrato sulle entità, sia all'avanguardia in questo movimento.
Prevedo che la fase due del SOC basato sull'intelligenza artificiale consisterà nell'uso dell'IA generativa per la difesa prescrittiva relativa alle indagini e alla risposta alle minacce. Questo sta già avvenendo con l'adozione da parte dei fornitori e l'uso di LLM per aiutare gli analisti SOC a ridurre il carico di lavoro delle indagini e velocizzarne i tempi. Potenzialmente, l'IA potrebbe fare un ulteriore passo avanti e prescrivere, o addirittura intraprendere, le azioni di risposta appropriate per contenere o isolare l'attacco. Vectra AI scelto di concentrarsi innanzitutto sulla fornitura del segnale di attacco più integrato e accurato. Riteniamo che più accurato è il segnale di attacco, più convincente è l'applicazione degli LLM per indagini e risposte efficaci.
Considero la fase tre dell'evoluzione del SOC come l'intelligenza artificiale per la difesa predittiva. Grazie alla nostra comprensione dei comportamenti degli aggressori, Attack Signal Intelligence nostra Attack Signal Intelligence con il nostro approccio e all'effetto rete di cui godiamo grazie ai nostri oltre 1500 clienti aziendali, Vectra AI ben posizionata per guidare e innovare nella difesa predittiva basata sull'intelligenza artificiale.
Vectra AI ulteriori approfondimenti su TAG e Vectra AI scarica il rapporto gratuito: Tag Security Annual 2023: edizione speciale ristampata.