Perché fare il triage degli avvisi, quando l'intelligenza artificiale può farlo per voi?

1 luglio 2022
Brad Woodberg
Direttore senior della gestione prodotti
Perché fare il triage degli avvisi, quando l'intelligenza artificiale può farlo per voi?

Se chiedete agli analisti della sicurezza di descrivere i principali punti dolenti del loro ruolo, otterrete senza dubbio una serie di risposte diverse. Una cosa che quasi sicuramente avranno in comune è la difficoltà di gestire la stanchezza da allerta. Abbiamo osservato che le sfide in quest'area si riducono a tre punti dolenti per gli analisti:

  • "Non ci sono abbastanza ore nella giornata per gestire il volume di allerta che ho sul piatto".
  • "Non riesco a utilizzare il mio tempo in modo efficiente perché non riesco a distinguere tra i falsi e i veri positivi".
  • "Sono preoccupato di perdere un vero attacco perché il segnale è sepolto nel rumore della mia soluzione legacy".

Le ragioni dei punti critici descritti nelle soluzioni di sicurezza tradizionali sono molteplici, ma in gran parte si riducono a:

  • Una corrispondenza semplicistica tra condizioni e anomalie crea falsi positivi.
  • L'incapacità di sfruttare gli indizi di contesto sulla rete per migliorare l'efficacia.
  • L'attenzione si concentra esclusivamente sui rilevamenti e non su come organizzarli in modo efficiente per consentire all'analista di concentrarsi sulle cose che richiedono effettivamente la sua attenzione.

Un modo migliore per gli analisti della sicurezza:

Fin dal primo giorno, Vectra ha costruito i rilevamenti per eliminare la probabilità di falsi positivi, potenziando gli algoritmi con il contesto della rete. Laddove i prodotti tradizionali per la sicurezza di rete potrebbero cercare semplicemente uno schema o un'anomalia statistica senza contesto, Vectra progetta i propri rilevamenti per sfruttare il contesto della rete e identificare le anomalie proprio come farebbe un analista della sicurezza.  

Ad esempio, il nostro rilevamento Smash and Grab Exfil apprenderà quali movimenti di dati sono normali su base subnet per subnet, terrà conto dei siti popolari nell'ambiente e cercherà flussi anomali di dati in uscita, anche nei canali crittografati. Vectra correla ulteriormente i rilevamenti tra le entità Host e Account, apprendendo l'archetipo e identificando ogni oggetto, per poi dare priorità ai rilevamenti per gli analisti in un modo azionabile e classificato in base alla pila. Questo semplifica notevolmente l'impegno di Vectra rispetto ai concorrenti che generano semplicemente i rilevamenti e lasciano all'analista il compito di discernerne il significato.  

Ma c'era ancora un'area di cui non eravamo del tutto soddisfatti: la gestione dei Veri Positivi. Questo perché non tutti i veri positivi sono dannosi. È possibile rilevare in modo affidabile anche attività in cui il comportamento è quello dichiarato dal sistema; nel contesto in cui si verifica un evento, potrebbe trattarsi di un Vero Positivo benigno piuttosto che di un Vero Positivo dannoso. Ad esempio, alcuni prodotti antivirus incorporano ricerche sull'hash dei file all'interno delle ricerche DNS del fornitore AV. Questo comportamento può assomigliare molto a un canale di comando e controllo che codifica i dati all'interno del payload DNS, ed è proprio così. Ma resta il fatto che, pur trattandosi di un vero e proprio tunnel DNS, non è dannoso, ma piuttosto benigno. La nostra filosofia è stata quella di fornire visibilità a questi rilevamenti di alta qualità dei comportamenti e dei metodi degli aggressori, ma di bilanciare il tutto dando priorità solo ai rilevamenti ad alta affidabilità e correlati a livello di host o di account, da sottoporre all'attenzione dell'utente.

Questo ci ha fatto pensare: c'è un modo per applicare alcune delle stesse tecniche che utilizziamo per alimentare i nostri algoritmi di ML/AI di livello mondiale per aiutarci a differenziare i True Positive maligni da quelli benigni? L'obiettivo era quello di eliminare in larga misura la necessità per i nostri clienti di analizzare i True Positive benigni, dando al contempo priorità ai True Positive maligni da sottoporre alla loro immediata attenzione. Così è nato AI-Triage.

Analogamente al processo di creazione dei nostri rilevamenti, abbiamo aggiunto le funzionalità di AI-Triage analizzando innanzitutto la metodologia applicata dagli analisti del mondo reale per risolvere questi problemi. Abbiamo quindi addestrato il nostro sistema ML/AI per aiutarci ad automatizzare la risoluzione degli scenari di massima affidabilità.

Come funziona l'AI-Triage:

L'AI -Triage, intrinseco alla piattaforma Vectra, funziona analizzando automaticamente tutti i rilevamenti attivi nel sistema, sfruttando il contesto dei singoli rilevamenti e i punti in comune tra i rilevamenti per cercare istanze di True Positive benigne che possiamo triadare automaticamente per conto del cliente. Ad esempio, se vediamo decine di endpoint che generano tutti lo stesso rilevamento di tunnel HTTPS nascosto verso la stessa destinazione, per almeno 14 giorni senza altri indicatori di compromissione, possiamo identificare con certezza questo caso come un vero positivo benigno. AI-Triage creerà quindi automaticamente una regola di triage per conto del cliente, senza richiedere tempo prezioso all'analista. Nel caso in cui un analista voglia esaminarla, l'attività è ancora disponibile all'interno della piattaforma, ma non richiede alcuna azione da parte dell'analista e non ha alcun impatto sul punteggio dell'host o dell'account.  

Come funziona l'AI-Triage

Inizialmente abbiamo introdotto il supporto di AI-Triage per i rilevamenti basati su C2 ed Exfil e, nella prossima release, ci baseremo su questo ottimo framework per estendere AI-Triage ai rilevamenti basati su Lateral. Abbiamo osservato che AI-Triage riduce di oltre l'80% i rilevamenti complessivi su cui un analista dovrebbe altrimenti indagare, il che significa che è possibile dedicare più tempo agli eventi che richiedono l'attenzione dell'analista.

Distribuzione con un solo clic

Ora che conoscete tutti i vantaggi offerti da AI-Triage, sarete lieti di sapere che potete attivarne le funzionalità con un solo clic. AI-Triage non richiede alcuna messa a punto o amministrazione da parte del cliente. È possibile attivarlo semplicemente andando in Impostazioni -> AI-Triage e abilitando la funzione; a questo punto AI-Triage inizierà a funzionare in background per identificare i rilevamenti positivi benigni ad alta confidenza e li classificherà per voi.  

In 30 giorni dal suo rilascio, oltre la metà dei nostri clienti ha già attivato AI-Triage. Stiamo assistendo a una sostanziale riduzione dei veri positivi benigni per la stragrande maggioranza dei clienti. Ma questo è solo l'inizio del nostro viaggio per rendere più efficienti gli analisti della sicurezza. Nelle prossime versioni estenderemo le funzionalità di AI-Triage a nuovi scenari e ad altri prodotti del nostro portafoglio.

 

Per ulteriori informazioni su AI-Triage, consultare l'articolo della KB "AI-Triage in dettaglio": https://support.vectra.ai/s/article/KB-VS-1582.

Per ulteriori informazioni sul rilevamento ML/AI di livello mondiale di Vectra, visitare il sito: https://support.vectra.ai/s/article/KB-VS-1285

DOMANDE FREQUENTI