Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso

Perché ricorrere agli avvisi di triage quando l'intelligenza artificiale può farlo al posto tuo?

1 luglio 2022
Brad Woodberg
Direttore senior della gestione dei prodotti
Perché ricorrere agli avvisi di triage quando l'intelligenza artificiale può farlo al posto tuo?

Se chiedete agli analisti della sicurezza di descrivere i principali punti critici del loro lavoro, otterrete senza dubbio una serie di risposte diverse. Un aspetto che quasi certamente avranno in comune è la sfida di affrontare la fatica da allarmi. Abbiamo osservato che le sfide in questo ambito si riducono a tre punti critici per gli analisti:

  • "Non ci sono abbastanza ore nella giornata per gestire il volume di avvisi che devo affrontare."
  • "Non riesco a utilizzare il mio tempo in modo efficiente perché non riesco a distinguere tra i falsi positivi e i veri positivi."
  • "Temo di non riuscire a individuare un attacco reale perché il segnale è sepolto dal rumore della mia soluzione legacy."

Ci sono molte ragioni alla base dei punti deboli descritti nelle soluzioni di sicurezza legacy, ma in sostanza si possono riassumere in:

  • Una corrispondenza semplicistica tra condizioni e anomalie genera falsi positivi.
  • Incapacità di sfruttare gli indizi contestuali presenti nella rete per migliorare l'efficacia.
  • Concentrarsi esclusivamente sui rilevamenti, senza considerare come organizzarli in modo efficiente affinché un analista possa concentrarsi sugli aspetti che richiedono effettivamente la sua attenzione.

Un modo migliore per gli analisti della sicurezza:

Fin dal primo giorno, Vectra ha sviluppato sistemi di rilevamento in grado di eliminare la probabilità di falsi positivi, potenziando gli algoritmi con il contesto della rete. Mentre i prodotti tradizionali per la sicurezza della rete potrebbero limitarsi a cercare un modello o un'anomalia statistica senza contesto, Vectra progetta i propri sistemi di rilevamento in modo da sfruttare il contesto della rete e identificare le anomalie proprio come farebbe un analista della sicurezza.  

Ad esempio, il nostro sistema di rilevamento Smash and Grab Exfil apprende quali movimenti di dati sono normali su ogni singola sottorete, tiene conto dei siti più popolari nel vostro ambiente e ricerca flussi di dati in uscita anomali, anche nei canali crittografati. Vectra correla ulteriormente i rilevamenti tra entità Host e Account, apprendendo l'archetipo e identificando ogni oggetto, quindi assegna una priorità ai rilevamenti per gli analisti in modo pratico e gerarchico.  Ciò semplifica notevolmente lo sforzo necessario per utilizzare Vectra rispetto ai concorrenti che si limitano a generare rilevamenti e lasciano all'analista il compito di discernere il significato.  

Ma c'era ancora un aspetto che non ci soddisfaceva del tutto, ovvero la gestione dei veri positivi. Questo perché non tutti i veri positivi sono dannosi. È anche possibile rilevare in modo affidabile attività il cui comportamento è quello indicato dal sistema; nel contesto in cui si verifica un evento, potrebbe trattarsi di un vero positivo benigno piuttosto che di un vero positivo dannoso. Ad esempio, alcuni prodotti antivirus incorporano ricerche di hash dei file nelle ricerche DNS al fornitore dell'antivirus.  Questo comportamento può sembrare molto simile a un canale di comando e controllo che codifica i dati all'interno del payload DNS, e in effetti è proprio così.  Resta il fatto che, sebbene si tratti di un vero tunnel DNS, non è dannoso, ma piuttosto benigno. La nostra filosofia è quella di fornire visibilità su questi rilevamenti di alta qualità dei comportamenti e dei metodi degli aggressori, ma di bilanciare questo aspetto dando priorità solo ai rilevamenti altamente affidabili e correlati a livello di host o account all'attenzione dell'utente.

Questo ci ha fatto riflettere: esiste un modo per applicare alcune delle tecniche che utilizziamo per potenziare i nostri algoritmi ML/AI di livello mondiale per aiutare a distinguere tra veri positivi dannosi e benigni? L'obiettivo era quello di eliminare in gran parte la necessità per i nostri clienti di analizzare i veri positivi benigni, dando invece la priorità ai veri positivi dannosi che richiedono un'attenzione immediata. È così che è nato AI-Triage.

Analogamente al processo utilizzato per creare i nostri sistemi di rilevamento, abbiamo aggiunto funzionalità di triage basate sull'intelligenza artificiale analizzando innanzitutto la metodologia applicata dagli analisti nel mondo reale per risolvere questi problemi. Abbiamo quindi addestrato il nostro sistema ML/AI per automatizzare la risoluzione degli scenari con il più alto livello di affidabilità.

Come funziona AI-Triage:

Intrinseco alla piattaforma Vectra, AI -Triage funziona analizzando automaticamente tutti i rilevamenti attivi nel sistema, sfruttando il contesto dei singoli rilevamenti e le analogie tra i rilevamenti per cercare casi di veri positivi benigni che possiamo classificare automaticamente per conto del cliente.   Ad esempio, se vediamo decine di endpoint che generano tutti lo stesso rilevamento di tunnel HTTPS nascosto verso la stessa destinazione, per almeno 14 giorni senza altri indicatori di compromissione, possiamo identificarlo con sicurezza come un vero positivo benigno.  AI-Triage creerà quindi automaticamente una regola di triage per conto dei clienti, senza richiedere tempo prezioso all'analista. Se un analista desidera esaminarla, l'attività è ancora disponibile all'interno della piattaforma, ma non richiede alcuna azione da parte dell'analista e non influisce sul punteggio dell'host o dell'account.  

Come funziona AI-Triage

Inizialmente abbiamo introdotto il supporto AI-Triage per i rilevamenti basati su C2 ed Exfil, e nella nostra prossima versione stiamo sviluppando questo eccellente framework per estendere AI-Triage ai rilevamenti basati su Lateral. Abbiamo osservato che AI-Triage riduce di oltre l'80% i rilevamenti complessivi che un analista dovrebbe altrimenti investigare, il che significa che è possibile dedicare più tempo agli eventi che richiedono l'attenzione dell'analista.

Implementazione con un solo clic

Ora che conosci tutti i vantaggi offerti da AI-Triage, sarai felice di sapere che puoi attivare queste funzionalità con un solo clic. AI-Triage non richiede alcuna configurazione o amministrazione da parte del cliente. Puoi abilitarlo semplicemente andando su Impostazioni -> AI-Triage e attivando la funzione. A questo punto, AI-Triage inizierà a funzionare in background per identificare i rilevamenti positivi veri benigni ad alta affidabilità e smistarli per te.  

A 30 giorni dal suo rilascio, oltre la metà dei nostri clienti ha già attivato AI-Triage. Stiamo assistendo a una sostanziale riduzione dei falsi positivi benigni per la stragrande maggioranza dei clienti. Ma questo è solo l'inizio del nostro percorso volto a rendere più efficienti gli analisti della sicurezza. Estenderemo le funzionalità di AI-Triage per coprire nuovi scenari e altri prodotti del nostro portafoglio nelle prossime versioni.

 

Per ulteriori informazioni su AI-Triage, consulta il nostro articolo della Knowledge Base "AI-Triage in dettaglio": https://support.vectra.ai/s/article/KB-VS-1582

Per ulteriori informazioni sul rilevamento ML/AI di livello mondiale di Vectra, visitare: https://support.vectra.ai/s/article/KB-VS-1285 

Domande frequenti