In materia di cybersecurity, si parla sempre più spesso di intelligenza artificiale.
Il testo a firma di Massimiliano Galvagna, country manager Italia di Vectra AI, suggerisce una serie di domande utili a capire quanto sono efficaci i vendor che dichiarano che l’AI è presente nel proprio stack tecnologico.
di Massimiliano Galvagna (*)
Nella quotidianità, ci vengono poste molte domande sull’intelligenza artificiale, per lo più relative alla cybersicurezza. Considerando che i team di sicurezza aziendali possono gestire fino a 70 strumenti di sicurezza nello stack, ci sono molte affermazioni relative all’AI che dovrebbero indurre i team di sicurezza a chiedere conto ai vendor. Ecco una serie di domande utili a capire quanto sono efficaci i fornitori che dichiarano che l’AI è presente nel proprio stack.
- Come utilizzano l’AI per rilevare e bloccare i cyberattacchi, in particolare gli attacchi ibridi?
Non esiste un singolo algoritmo o modello di apprendimento in grado di risolvere ogni problema, ma piuttosto algoritmi ottimali per ogni problema che nella cybersecurity genera un segnale di attacco. È importante capire come un vendor sia in grado di aiutare ad affrontare gli attacchi informatici, e questo si riduce alla chiarezza del segnale. Il segnale di attacco è in grado di individuare i TTP degli aggressori dopo la violazione? In che modo? Analizza i modelli di rilevamento unici dell’ambiente aziendale? Come? E mette in relazione i rilevamenti su tutte le superfici di attacco attuali e future: rete, cloud pubblico, identità, SaaS, ecc.?
“Considerato che i team di sicurezza aziendali possono gestire fino a 70 strumenti di sicurezza nello stack, è utile valutare bene la scelta del vendor a cui affidarsi”, dice Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI.
- In che modo il segnale di attacco guidato dall’AI si concentra sui comportamenti degli attaccanti informatici?
Questa domanda è utile a capire meglio come l’AI lavora dietro le quinte nell’ambiente per rilevare e dare priorità agli attacchi. E permette di scoprire se le soluzioni del vendor hanno un’ampia copertura per i comportamenti degli attaccanti, come comand and control, movimento laterale, ricognizione, ecc. Esistono alcune risorse utili che i difensori possono utilizzare per assicurarsi di avere una copertura per le tattiche e le tecniche di attacco più attuali. Una di queste è MITRE ATT&CK, una base di conoscenza dei metodi degli avversari accessibile a livello globale. Questa è una strada, come quella di chiedere ai vendor come i suoi rilevamenti si adattano a MITRE ATT&CK. Ad esempio, l’Attack Signal Intelligence di Vectra ha una copertura per oltre il 90% delle tecniche MITRE ATT&CK rilevanti.
- Come vengono classificate le minacce che colpiscono gli host e gli account ad alto rischio, in modo che gli analisti sappiano cosa è urgente?
I team SOC ricevono in media 4.484 alert al giorno. Non hanno bisogno di più alert, ma piuttosto di un modo per sapere quali sono importanti. La giusta prioritizzazione dell’AI aiuterà gli analisti a sapere dove concentrare il proprio tempo. Questa domanda aiuta a determinare il funzionamento del modello di prioritizzazione di un vendor, per sapere quali fonti di dati entrano a far parte dell’equazione e scoprire quanto il vendor sia trasparente e disponibile sui suoi algoritmi e sul modo in cui stabilisce una priorità delle minacce. È possibile scoprire come l’intelligenza artificiale mette in relazione i rilevamenti delle minacce su diverse superfici di attacco e come li valuta per creare un punteggio di urgenza che un analista può utilizzare a proprio vantaggio e, in ultima analisi, dare priorità ai rischi più urgenti.
- In che modo l’AI ridurrà il carico di lavoro degli analisti di sicurezza?
Secondo una recente ricerca di Vectra AI la maggioranza degli analisti SOC afferma che le dimensioni della superficie di attacco della propria organizzazione (63%), il numero di strumenti di sicurezza (70%) e gli alert che gestisce (66%) sono aumentati significativamente negli ultimi tre anni. Quando si tratta di rilevare le minacce, l’AI dovrebbe fare di più che fornire un numero sempre più elevato di rilevamenti. Invece di aggiungere altri avvisi, è meglio mettere al lavoro l’AI: un segnale di attacco guidato dall’intelligenza artificiale è in grado di assegnare automaticamente un triage e una priorità ai rilevamenti unici per l’ambiente aziendale, riducendo notevolmente il rumore di fondo degli avvisi (fino all’80%) e generando, al contempo, una valutazione dell’urgenza dell’attacco. In questo modo, il SOC è in condizione di fare ciò che sa fare meglio: fermare gli attacchi, non gestire gli avvisi.
- In che modo l’AI aiuta il team a indagare e rispondere agli incidenti in modo più efficiente?
La latenza è la migliore amica degli attaccanti ibridi. Una buona soluzione di intelligenza artificiale dovrebbe dare agli analisti un vantaggio, condividendo il contesto degli attacchi alle entità prioritarie con opzioni di risposta automatizzate e manuali. L’AI deve integrarsi con il processo aziendale di risposta agli incidenti, fornendo un punto di partenza e una guida per le indagini attraverso la propria interfaccia o all’interno degli strumenti esistenti (preferibilmente entrambi), in modo da poter disporre di una narrazione completa dell’attacco per intraprendere un’azione intelligente quando necessario.
È utile comprendere in che modo le soluzioni proposte dai vendor sfruttino in concreto l’AI.
- Come si integra la soluzione con lo stack di sicurezza in uso all’azienda?
Capire come il segnale di intelligenza artificiale si integrerà con gli investimenti di sicurezza già esistenti è necessario per capire se l’organizzazione sarà in grado di sfruttarlo nell’ambito delle attività svolte dal team di sicurezza. I vendor dovrebbero essere ritenuti responsabili dell’efficacia del loro segnale e anche essere tenuti a garantire che ogni aspetto del processo di implementazione sia coperto, per renderlo il più chiaro e continuo possibile. In particolare, per quanto riguarda il rilevamento e la risposta alle minacce, la soluzione di intelligenza artificiale deve fornire informazioni all'infrastruttura esistente e facilitare la risposta del team alle minacce più urgenti.
- Sono previste esercitazioni di red team o servizi di penetration test per convalidare ulteriormente il segnale di attacco?
I test sono fondamentali per convalidare l’efficacia dell’AI. La garanzia offerta dai vendor dovrebbe estendersi alla copertura dei costi di test se il prodotto non è all’altezza. Qualsiasi tecnologia di AI utilizzata per il rilevamento e la risposta alle minacce deve comprendere i TTP utilizzati dagli moderni aggressori ibridi. Uno dei modi migliori per sapere con certezza se la soluzione è all’altezza del compito è simulare attacchi ibridi reali emulando metodi di attacco sia comuni sia sofisticati. Più il segnale di attacco ibrido è accurato, più gli analisti SOC sapranno in che direzione concentrare il proprio tempo e le proprie capacità.
- Cosa aspettarsi dal punto di vista dell’implementazione, dell’esperienza degli analisti e degli investimenti?
È importante parlare con i vendor di queste tre aree e capire quale sarà la curva di apprendimento per i membri del team che utilizzano lo strumento. Gli strumenti di rilevamento e risposta alle minacce, come l'XDR, sono spesso considerati eccessivamente complessi, ma un analista non dovrebbe essere costretto a lavorare per ottenere risposte, anzi, dovrebbe essere il contrario. Una buona soluzione è quella che viene utilizzata, quindi è bene assicurarsi che si inserisca nel flusso di lavoro del SOC, il che contribuirà a renderla un buon investimento.
- Quali workload dell’attuale SOC possono essere affidati alla soluzione?
Secondo Gartner, entro il 2025 il 90% dei SOC del G2000 utilizzerà un modello ibrido esternalizzando almeno il 50% del carico di lavoro operativo. Se i workload degli analisti SOC continuano ad aumentare, quale parte del loro lavoro può essere affidata a un servizio gestito? La possibilità di aggiungere servizi gestiti in aggiunta al segnale offerto dall’AI può alleggerire il SOC da compiti come il monitoraggio delle minacce h24, la messa a punto del rilevamento e il triage o altri compiti che sottraggono tempo agli analisti, ottenendo al contempo un ampliamento del team con esperti di AI e di piattaforma.
Porre le domande giuste può aiutare a scegliere le soluzioni che possono aiutare i team di sicurezza a superare le sfide degli attacchi ibridi, come la latenza, i carichi di lavoro e il burnout del SOC.
LE DOMANDE GIUSTE
Negli ultimi due anni l’AI si è diffusa a tutta velocità, con molti vendor che si sono buttati a capofitto nel settore, perché non potevano permettersi di non avere un punto di riferimento in materia. Tuttavia, porre le domande giuste può aiutare a distinguere le soluzioni che saranno solo un altro strumento da aggiungere a una lunga lista, da quelle che possono effettivamente aiutare i team di sicurezza a superare le sfide degli attacchi ibridi, come la latenza, i carichi di lavoro e il burnout del SOC. È responsabilità del vendor fornire il segnale di attacco che possa aiutare le aziende a bloccare gli attacchi. ©TECNeLaB
(*) Massimiliano Galvagna è Country Manager per l’Italia di Vectra AI.