L’AI per rilevare le minacce in ‘near real time’
La tecnologia di Vectra AI a supporto del Cyber Fusion Center di MAIRE Tecnimont.
È la rilevazione in ‘near real time’ degli attacchi in corso l’oggetto della tecnologia di Vectra AI, società specializzata in ambito cybersecurity. “Viviamo in un momento di grande fermento lato attaccanti che, con le loro tecniche, si concentrano fortemente sugli ambienti ibridi. Si parla quindi sia di cloud che di on premise in uno scenario sempre più complesso favorito dalla diffusione dei workload eseguiti su ambiente ibrido. La presenza di un’infrastruttura mista complica infatti uno scenario composto da attacchi diretti sulle identità tramite social engineering ma anche da un aumento di quelli indirizzati alle vulnerabilità zero day”, commenta Massimiliano Galvagna, Country Manager Italy di Vectra AI. L’idea è che essere in possesso di identità valide rappresenta il metodo migliore per compiere azioni di attacco. “Si è registrato un aumento di circa il 90% negli attacchi sulle credenziali. Crescono ancora i ransomware e in ultimo le problematiche legate agli ‘insider’, ossia con sempre più utenti aziendali interni che vengono avvicinati per favorire la fuga di informazioni. Utenti che, appunto, lavorano sempre più da remoto.”
In tale contesto si inserisce l’intelligenza artificiale come strumento che accelera l’analisi della grande quantità di informazioni che viaggiano sui e tra i sistemi informativi e dell’identificazione degli attacchi. “In pochi istanti la nostra tecnologia – che copre ogni settore – riesce a identificare le attività sospette condotte dagli utenti e quelle malevole dei malware, e ad analizzare ambienti ibridi e complessi con workload distribuiti su più data center e in cloud. Abbiamo clienti in ambito industria, telco, energy, trasporti, finance, farmaceutico, PA, difesa… quindi dallo small business alle grandi imprese pubbliche e private. Operando in modo trasversale su IT, OT e IOT indirizzando normative come NIS2 e il mondo delle infrastrutture critiche. Il tutto anche al 100% on premise e sconnessi da Internet – laddove invece altre tecnologie devono inviare il traffico in cloud a fini di analisi – mantenendo comunque inalterate le prestazioni. Lavorando in ‘near real time’ e interfacciandoci con le tecnologie esistenti forniamo una risposta immediata ed eseguiamo un’analisi comportamentale del traffico anche quando cifrato.”
A supporto di un approccio olistico
Tra gli utenti della tecnologia di Vector AI c’è anche Maire Tecnimont, realtà industriale operativa in ambito sostenibilità ed energia. In particolare il suo Cybersecurity Manager, Andrea Licciardi, ha precisato che investire in tecnologie di sicurezza non significa automaticamente ridurre gli incidenti, ad esempio quando non esiste una visione completa della superficie di attacco con controlli adeguati. “Siamo un’azienda cloud oriented e questo ci ha portati a cambiare il nostro approccio alla sicurezza, lavorando non più su un tema di rischio tecnologico bensì di rischio di business. Ciò ha portato all’adozione di un ‘Cyber Fusion Center’, ossia un’evoluzione del SOC, un centro operativo per centralizzare, analizzare e gestire gli eventi in modo olistico. Abbiamo componenti di orchestrazione, automation, intelligenza artificiale, cyber treath intelligence contestualizzata. Agendo in modo proattivo e non più reattivo.”
È qui che l’intelligenza artificiale ha dato il suo contributo consentendo di effettuare analisi predittive, favorendo una rilevazione da ore/giorni a minuti. Attivando concetti di automazione e orchestrazione per programmare e ridurre lo sforzo delle persone che possono quindi focalizzarsi su quegli incidenti che necessitano di un contributo umano per essere affrontati. E migliorando l’apprendimento continuo e l’adattamento a minacce.
“Nell’implementazione del Cyber Fusion Center, basato su un’architettura mesh, ci siamo resi conto che mancavano tecnologie di rilevazione soprattutto di attacchi alla rete, per identificare quel ‘rumore’ che può essere il segnale di un’azione avanzata. Ci serviva un sistema in grado di integrarsi con il nostro stack tecnologico e che creasse valore. Abbiamo quindi valutato quale NDR fosse più adatto al nostro contesto e, una volta scelto, migliorato la nostra postura nei confronti della sicurezza, ridotti i falsi positivi e abbassati i costi.”