L'articolo che segue è la trascrizione di una recente intervista a Ed Amoroso, fondatore e CEO di TAG Infosphere e Mark Wojtasiak, vicepresidente di prodotto di Vectra AI , discutono di come le organizzazioni possano utilizzare il giusto approccio all'intelligenza artificiale per difendersi con successo dagli odierni attacchi ibridi.
Ndr: poche aziende di cybersecurity hanno la stessa esperienza di Vectra AI AI nell'applicazione dell'intelligenza artificiale (AI) alla cybersecurity. L'azienda ha sviluppato una forte capacità di utilizzare l'intelligenza artificiale per rilevare con precisione gli attacchi informatici, indagare e avviare una risposta, il che corrisponde chiaramente alle esigenze della maggior parte delle organizzazioni moderne che cercano di migliorare le proprie difese e quindi la resilienza agli attacchi.
Di recente abbiamo trascorso un po' di tempo con il team Vectra AI per capire meglio come stanno utilizzando l'AI per accelerare il rilevamento e la mitigazione della cybersecurity e come i loro clienti stiano diventando sempre più dipendenti dall'AI come componente fondamentale della loro difesa contro gli attacchi automatizzati.
Ed: In che modo la piattaforma di Vectra AIpiattaforma AI migliora la capacità delle organizzazioni di rilevare e rispondere alle minacce informatiche in tempo reale?
Mark: Pensiamo a questo aspetto nei termini più elementari. In sostanza, la capacità di un'organizzazione di rilevare e rispondere alle minacce informatiche in tempo reale si riduce a tre domande: Possiamo vederle? Possiamo fermarla? Quanto velocemente possiamo vederla e fermarla? Con superfici di attacco in costante espansione, metodi di attacco in evoluzione, nuove minacce emergenti e una raffica di avvisi, i metodi tradizionali di rilevamento e risposta alle minacce sono eccessivamente manuali, complessi e caratterizzati da latenza. Inoltre, la carenza di risorse e competenze dei SOC non ha fatto altro che peggiorare la situazione e quando si tratta di chiedersi: quanto velocemente riusciamo a vederle e a fermarle? La risposta è: non abbastanza velocemente.
Abbiamo una premessa che funge da base per la nostra piattaforma AI: le aziende moderne sono ibride, quindi tutti gli attacchi sono ibridi. Sosteniamo che nella moderna azienda ibrida, gli attacchi ibridi stanno rendendo inefficienti e inefficaci gli approcci tradizionali al rilevamento e alla risposta alle minacce. Per i team SOC, rilevare un attacco ibrido è come trovare l'ago in una pila di aghi. L'unico modo per trovare l'ago è pensare come un attaccante ibrido. Oggi pensiamo di avere superfici di attacco individuali da gestire: endpoint, reti, identità, cloud, applicazioni di posta elettronica e così via, ma gli aggressori ibridi vedono una gigantesca superficie di attacco integrata. Integrata è la parola chiave e la nostra piattaforma è progettata per fornire ai difensori una visione integrata in tempo reale degli attacchi sull'intera superficie di attacco ibrida. Questo elimina la complessità e la latenza dei processi di rilevamento, indagine e risposta e riduce drasticamente il carico di lavoro degli analisti SOC.
Ed: Può illustrare le tecniche e le metodologie specifiche di AI impiegate da Vectra AI per analizzare i comportamenti della rete e identificare le attività dannose?
Mark: L'approccio di Vectra AI al rilevamento delle minacce fonde le competenze umane con un'ampia serie di tecniche di scienza dei dati e di apprendimento automatico avanzato. Questo modello fornisce un ciclo continuo di informazioni sugli attacchi basato sulla ricerca in materia di sicurezza, su modelli di apprendimento globali e locali, sull'apprendimento profondo e sulle reti neurali. Utilizzando algoritmi di rilevamento comportamentale per analizzare i metadati dei pacchetti acquisiti, la nostra IA per la cybersecurity rileva gli attacchi nascosti e sconosciuti in tempo reale, indipendentemente dal fatto che il traffico sia criptato o meno. La nostra IA analizza solo i metadati catturati dai pacchetti, invece di eseguire l'ispezione profonda dei pacchetti, per proteggere la privacy degli utenti senza curiosare nei payload sensibili.
L'apprendimento globale inizia con i Vectra AI Threat Labs, un gruppo a tempo pieno di esperti di cybersecurity e ricercatori sulle minacce che analizzano continuamente malware, strumenti di attacco, tecniche e procedure per identificare le tendenze nuove e mutevoli nel panorama delle minacce. Il loro lavoro informa i modelli di scienza dei dati utilizzati dai nostri Attack Signal Intelligencee comprende l'apprendimento automatico supervisionato. Viene utilizzato per analizzare volumi molto grandi di traffico di attacchi e distillarli fino alle caratteristiche chiave che rendono unico il traffico dannoso.
L'apprendimento locale identifica ciò che è normale e anormale nella rete di un'azienda per rivelare i modelli di attacco. Le tecniche chiave utilizzate sono l'apprendimento automatico non supervisionato e il rilevamento delle anomalie. Vectra AI utilizza modelli di apprendimento automatico non supervisionati per imparare a conoscere un ambiente specifico del cliente, senza la supervisione diretta di un data scientist. Invece di concentrarsi sulla ricerca e sulla segnalazione di anomalie, Vectra AI cerca indicatori di fasi importanti di un attacco o di tecniche di attacco, tra cui i segni che un attaccante sta esplorando la rete, valutando gli host da attaccare e utilizzando credenziali rubate.
Il nostro motore di prioritizzazione guidato dall'intelligenza artificiale combina migliaia di eventi e tratti di rete in un unico rilevamento. Utilizzando tecniche come la correlazione degli eventi e il punteggio degli host, la nostra intelligenza artificiale correla tutti gli eventi di rilevamento a host specifici che mostrano segni di comportamenti di minaccia. Quindi assegniamo automaticamente un punteggio a ogni rilevamento e host in termini di gravità e certezza delle minacce, utilizzando il nostro indice di certezza delle minacce.
Infine, teniamo traccia di ogni evento nel tempo e in ogni fase del ciclo di vita del cyberattacco, concentrandoci in particolare sulle entità di valore strategico per un attaccante.
Ed: Cosa distingue Vectra AI nella cybersecurity guidata dall'intelligenza artificiale, in particolare in termini di scalabilità e adattabilità alle minacce in evoluzione?
Mark: Direi che è il nostro approccio. Un decennio fa abbiamo creato una metodologia basata su cinque principi fondamentali dell'IA applicata alla sicurezza informatica:
1. Iniziare con la giusta dichiarazione del problema.
2. I dati giusti.
3. Costruire una competenza ingegneristica di ML.
4. Sbloccare l'innovazione ML con la piattaforma.
5. Convalidare e migliorare continuamente.
La nostra metodologia affonda le sue radici nell'integrazione di ricerca sulla sicurezza, ingegneria ML - la combinazione di scienza dei dati e ingegneria - e UX focalizzata su un'unica missione: utilizzare l'IA per trovare segnali di attacco all'interno dei dati in modo rapido e su scala. Abbiamo oltre 150 modelli che spaziano tra reti neurali, ML supervisionato, ML non supervisionato e rilevamento delle novità, 12 referenze per MITRE D3FEND - più di qualsiasi altro fornitore - e un effetto rete composto da oltre 1500 clienti che convalidano e migliorano continuamente i nostri rilevamenti di IA sia per le tecniche di attacco esistenti che per quelle nuove che scopriamo. Ci sono casi in cui abbiamo identificato nuove tecniche di attacco e sviluppato rilevamenti prima che venissero pubblicati su MITRE ATT&CK il che significa che i nostri clienti ottengono una copertura continua per le nuove tecniche di attacco senza alcun lavoro di ingegneria di rilevamento.
Ed: Come fa Vectra AI a garantire un numero minimo di falsi positivi e falsi negativi nei suoi algoritmi di rilevamento delle minacce basati sull'intelligenza artificiale?
Mark: Riteniamo che il rilevamento e la risposta a quelli che chiamiamo attacchi ibridi in tempo reale possano essere effettuati solo con l'intelligenza artificiale. L'intelligenza artificiale è l'unico modo per fornire ai team SOC ciò di cui hanno bisogno: un segnale di attacco ibrido integrato e preciso, in velocità e su scala. Lo chiamiamo il nostro Attack Signal Intelligence e si avvale dell'intelligenza artificiale per analizzare, classificare e correlare migliaia di eventi di rilevamento al giorno che riguardano reti, identità, cloud e applicazioni SaaS. Invece di fornire migliaia di avvisi su singoli eventi di minaccia, la nostra piattaforma AI fornisce avvisi a una cifra al giorno su entità prioritarie - sia host che account - sotto attacco.
In parole povere, la nostra AI risponde alle tre domande a cui gli analisti SOC devono rispondere ogni giorno che siedono davanti ai loro monitor: Questa minaccia è reale? Mi interessa? E quanto è urgente? In altre parole, vale il mio tempo e il mio talento. Uno dei nostri clienti ha detto: "La Vectra AI Platform aiuta i nostri ingegneri e analisti a eliminare l'ambiguità dalla loro giornata e a concentrarsi su ciò che conta".
Il modo in cui lo facciamo è semplice. Sfruttiamo i nostri rilevamenti AI precostituiti, basati sul comportamento e specifici per il dominio, per rendere noti gli attacchi sconosciuti. Utilizziamo l'intelligenza artificiale per integrare e automatizzare la correlazione degli eventi di minaccia per eliminare la latenza dell'ingegneria di rilevamento. E soprattutto, utilizziamo l'intelligenza artificiale per spostare l'esperienza degli analisti dal rilevamento delle minacce incentrato sugli eventi alla prioritizzazione dei segnali incentrata sulle entità, riducendo così il rumore e il carico di lavoro e massimizzando il valore dei talenti SOC esistenti.
Ed: Guardando al futuro, quale ruolo immaginate che abbia l'IA nel futuro della difesa della cybersecurity e come Vectra AI è posizionata per essere leader in questa evoluzione in corso?
Mark: Come ho detto prima, oggi il rilevamento e la risposta agli attacchi ibridi in tempo reale possono essere effettuati solo con l'AI. Per noi il futuro è un SOC completamente guidato dall'intelligenza artificiale. La prima fase dell'evoluzione riguarda l'uso dell'IA applicata per la difesa proattiva, dall'identificazione dei comportamenti emergenti degli aggressori al rilevamento e alla definizione delle priorità delle entità nelle prime fasi di una campagna di attacco. Riteniamo che il nostro approccio AI/ML, la nostra Attack Signal Intelligence e il nostro motore di prioritizzazione incentrato sulle entità siano all'avanguardia di questo movimento.
A mio avviso, la seconda fase del SOC guidato dall'intelligenza artificiale consiste nell'uso dell'intelligenza artificiale generativa per la difesa prescrittiva relativa alle indagini e alla risposta alle minacce. Lo vediamo già con l'adozione da parte dei fornitori e l'uso di LLM per aiutare gli analisti SOC a ridurre il carico di lavoro delle indagini e ad accelerare i tempi. Potenzialmente, l'AI potrebbe fare un ulteriore passo avanti e prescrivere, o addirittura intraprendere, l'azione di risposta appropriata per contenere o isolare l'attacco. Vectra AI ha scelto di concentrarsi innanzitutto sulla fornitura del segnale di attacco più integrato e accurato. Riteniamo che quanto più accurato è il segnale di attacco, tanto più convincente è l'applicazione degli LLM per un'indagine e una risposta efficaci.
Vedo la terza fase dell'evoluzione del SOC come AI per la difesa predittiva. Data la nostra comprensione dei comportamenti degli aggressori - la nostra Attack Signal Intelligence - combinata con il nostro approccio e l'effetto rete di cui godiamo grazie ai nostri oltre 1500 clienti aziendali, Vectra AI è ben posizionata per guidare e innovare la difesa predittiva guidata dall'AI.
È possibile ottenere ulteriori informazioni da TAG e Vectra AI scaricando il report gratuito: Tag Security Annual 2023: Edizione speciale di ristampa