Il 72% dei professionisti della sicurezza "pensa di essere stato violato, ma non lo sa". In altre parole, quasi tre quarti dei team di sicurezza non sanno dove sono compromessi in questo momento. La chiamiamo "minaccia sconosciuta" e negli ultimi due anni si sta diffondendo sempre di più a causa del rapido passaggio a servizi, storage, applicazioni e identità in cloud ibrido. Le minacce sconosciute, che siano cloud, che siano state rilevate da account o che siano state attaccate nella catena di fornitura, hanno semplicemente più modi per infiltrarsi e spostarsi lateralmente all'interno di un'organizzazione, ed è per questo che riteniamo che la minaccia sconosciuta sia il più grande rischio di cybersecurity oggi.
Lo dimostra il rapporto di IBM Cost of a Data Breach 2022, secondo cui quasi la metà (45%) delle violazioni è cloud. Lo vediamo nel Data Breach Investigations Report 2022 di Verizon, che ha rilevato che quasi la metà delle violazioni deriva da credenziali rubate. Inoltre, Verizon ha rilevato che le minacce costanti evolutive che attaccano le catene di approvvigionamento sono all'origine del 62% delle intrusioni nei sistemi.
Allora, perché le organizzazioni sono più suscettibili alle minacce sconosciute? Riteniamo che la causa sia da ricercare in tre fattori, al centro dei quali c'è la spirale viziosa del tentativo di affrontare il problema con "più".
- Più superficie di attacco significa più strumenti, quindi più complessità.
- Più aggressori evasivi significano più regole, quindi più avvisi e più messe a punto.
- Più regole di allerta da mettere a punto e mantenere significano più analisti, più lavoro e più burnout.
Ciò che è scoraggiante è che l'industria della sicurezza continua a cercare di combattere il più con il più, ma è incredibilmente chiaro che questa non è la risposta. Un numero maggiore non cancella l'ignoto. Lo alimenta. L'aumento è la causa del problema di fiducia che i leader della sicurezza devono affrontare.
Uscire dalla spirale del "di più".
Due fattori guidano la spirale del "di più"
Il primo è strutturale nel settore della sicurezza: troppi prodotti puntuali per il rilevamento e la risposta alle minacce. L'unica soluzione pratica è rappresentata da piattaforme di rilevamento e risposta alle minacce che abbiano un'ampia copertura della superficie di attacco e che possano unificare e semplificare in modo nativo. Ne parleremo più diffusamente in un prossimo blog [XDR].
Il secondo è il linguaggio che gli strumenti di rilevamento ancora comuni utilizzano per effettuare il rilevamento, in particolare gli IDS e i SIEM. Ciò deriva da un'attenzione pluridecennale alla creazione di capacità di intelligence sulle minacce per comunicare rapidamente e trovare IoC noti come domini C2, hash dei file, nomi di processi dannosi, chiavi di registro, regex nei pacchetti, ecc. I linguaggi delle regole di rilevamento sono stati naturalmente ottimizzati per trovare questi IoC noti.
Oggi il panorama è cambiato e questi approcci non riescono a tenere il passo:
- Le minacce moderne si muovono troppo velocemente, lasciando i difensori costantemente alla ricerca dell'ultima vulnerabilità o dominio.
- I moderni metodi di attacco sfidano la caratterizzazione mediante firme e semplici regole.
- Le minacce moderne ed evasive eludono la prevenzione e passano inosservate per mesi.
Un semplice esempio è l'individuazione di un aggressore che utilizza una credenziale di amministratore rubata per muoversi lateralmente con un protocollo di amministrazione di Windows. Se si dispone dei dati giusti, le regole e le firme possono indicare ogni volta che una credenziale di amministratore viene utilizzata con gli strumenti di amministrazione di Windows usati per eseguire codice in remoto. Le potenziali attività di attacco saranno nascoste negli avvisi per ogni amministratore che svolge il proprio lavoro. Ora iniziano i tentativi di mettere a punto questa regola, che non finiranno mai: forse la regola è efficace, forse no. Questa è la ricetta per altri punti ciechi e per l'esaurimento. Una ricetta per far sì che il compromesso sconosciuto abbia la meglio.
Buoni modelli ML/AI sono l'unica via d'uscita da questo circolo vizioso.
Per oltre un decennio, Vectra ha svolto attività di ricerca, brevetto, sviluppo e pionierismo nel campo dell'IA per la sicurezza, con l'obiettivo di cancellare l'ignoto e di non farlo con più dati, ma con meno. La premessa fondamentale di Vectra Security AI non è la raccolta di più dati, ma la raccolta e l'analisi dei dati giusti nel modo giusto.
Raccogliere i dati giusti e analizzarli nel modo giusto consente ai team di sicurezza di fare di più con meno strumenti, meno lavoro e meno tempo. Noi di Vectra crediamo che per eliminare le minacce sconosciute, l'AI/ML debba aiutare i team di sicurezza a fare 3 semplici cose in modo efficace ed efficiente:
- Pensare come un aggressore per andare oltre le firme e le anomalie, per comprendere il comportamento dell'aggressore e per individuare le sue TTP lungo tutta la cyber kill chain.
- Sapere cosa è dannoso analizzando i modelli di rilevamento unici per il vostro ambiente per far emergere gli eventi rilevanti e ridurre il rumore.
- Concentrarsi sull'urgenza con una visione delle minacce in base alla gravità e all'impatto, consentendo agli analisti di concentrarsi sulla risposta alle minacce critiche e sulla riduzione del rischio aziendale.
Entrare nell'Attack Signal Intelligence
L'unico "di più" di cui ha bisogno la sicurezza è un maggior numero di Attack Signal Intelligence.
L'Attack Signal Intelligence è per le incognite ciò che la Threat Intelligence è per le conoscenze. A differenza di altri approcci di "AI" che cercano semplici anomalie per dire ai team di sicurezza cosa c'è di diverso, l'Attack Signal Intelligence di Vectra dice ai team di sicurezza cosa conta.
Lo facciamo monitorando continuamente l'uso dei metodi degli aggressori con un insieme di modelli programmati con una comprensione delle TTP degli aggressori (si pensi a MITRE ATT&CK) e la capacità di apprendere il vostro ambiente specifico. I risultati vengono poi sottoposti a un altro livello di intelligenza artificiale che combina la comprensione dell'ambiente in aggregato con i modelli di minaccia e l'intelligence umana sulle minacce, per far emergere automaticamente le minacce più importanti per la vostra azienda. Il risultato è che i nostri clienti sono più efficienti dell'85% nell'identificare le minacce reali e ottengono una produttività delle operazioni di sicurezza >2 volte superiore.
Se l'intelligence delle minacce dà alla sicurezza la sicurezza di ridurre ciò che è noto, l'intelligence del segnale di attacco dà alla sicurezza la sicurezza di ridurre ciò che era precedentemente sconosciuto. Sfruttando l'Attack Signal Intelligence brevettata da Vectra, i team di sicurezza sono in grado di cancellare l'ignoto, di ribaltare le sorti degli aggressori e di rendere il mondo un posto più sicuro e più giusto.
Questo è il nostro impegno.
Per ulteriori informazioni su come stiamo realizzando la nostra missione, consultate queste risorse:
- Vectra Security - Intelligenza Attack Signal Intelligence guidata dall'IA - Come funziona
- Sintesi della soluzione Vectra Attack Signal Intelligence
- Piattaforma di rilevamento e risposta alle minacce Vectra
- Libro bianco: L'intelligenza artificiale dietro Vectra AI