A Cybertech Roma 2024 incontriamo Massimiliano Galvagna, Country Manager di Vectra AI per l’Italia: come possono, le imprese, proteggersi dalle minacce?
Le soluzioni di Vectra AI vanno oltre le firme e le anomalie, per analizzare il comportamento degli aggressori in tempo reale. La piattaforma è altamente specializzata nell’automatizzare il rilevamento, il triage e la prioritizzazione delle minacce reali.
I rilevamenti analizzano il comportamento dopo la compromissione per fornire copertura a oltre il 90% delle tecniche MITRE e ATT&CK pertinenti.
Il triage utilizza l’apprendimento automatico per rilevare gli schemi, distinguere il malevolo dal benigno e ridurre oltre l’80% del rumore degli avvisi. La prioritizzazione valuta i profili osservati a livello globale per ridurre i falsi positivi e fornire valutazioni affidabili dell’urgenza.
Il focus delle soluzioni di Vectra AI è il rilevamento delle compromissioni appena avvenute. Questi sistemi di analisi si affiancano ad altre piattaforme di prevenzione e sono essenziali per poter fare prevenzione e sicurezza proattiva. I dati estratti con i tool di post compromissione di Vectra AI consentono agli specialisti del SOC di operare con un contesto specifico e granulare (quante macchine, quante utenze e quali servizi sono stati inclusi in un determinato incident).
Cybersecurity e cyberattacchi
La cybersecurity si è evoluta notevolmente negli ultimi anni, facendo registrare una vera e propria rivoluzione rispetto a una o due decadi fa. Molto è stato fatto e molto c’è ancora da fare.
Secondo Canalys, il mercato mondiale delle tecnologie per la sicurezza informatica è cresciuto dell’11,6% su base annua raggiungendo i 19 miliardi di dollari, nonostante la continua incertezza macroeconomica e i budget IT limitati. I livelli di minaccia sono a livelli senza precedenti, con il numero di attacchi ransomware segnalati pubblicamente in aumento di oltre il 50% e i record di dati violati più che raddoppiati nei primi otto mesi di quest’anno. Ai ritmi attuali, il 2024 sarà l’anno peggiore mai registrato, superando di gran lunga i livelli del 2023.
Crescono gli ambienti digitali aziendali e con essi anche i potenziali rischi alla sicurezza. Complice la diffusione del lavoro da remoto e l’elevata mobilità dei dipendenti in ogni settore, il perimetro aziendale oggi non coincide più con le mura dell’ufficio. Gli esperti di sicurezza si trovano a dover proteggere una superficie di attacco che è cresciuta a dismisura, rendendo urgente l’adozione di soluzioni evolute per la gestione e la protezione dei dati e la definizione di strategie di sicurezza più rigorose, dalla singola postazione di lavoro al monitoraggio della rete e dell’ambiente in generale.
In questo contesto, Vectra AI si focalizza sulla creazione di contromisure volte a rilevare, attraverso l’AI, metodi di attacco e relative tattiche, tecniche e procedure. Indipendentemente dalla velocità con cui gli attaccanti cambiano i propri strumenti, i metodi di attacco evolvono lentamente e la progressione dell’attacco stesso fondamentalmente è sempre la stessa. Nel momento in cui un attaccante poi fa breccia in un’infrastruttura, dovrà parlare il linguaggio comune dei sistemi che vuole attaccare, ovvero i suoi protocolli, lasciando segnali ben visibili e che possono essere intercettati. È compito di Vectra intercettare questi segnali, correlarli, capirne la gravità e bloccare l’attacco in corso nel minor tempo possibile.
Gli analisti della sicurezza hanno bisogno di una tecnologia in grado di fornire un’intelligence immediatamente azionabile che monitori l’attività di rete. Avere a disposizione molti dati è fondamentale, ma se gli analisti non sono poi in grado di ricavarne informazioni utili sui segnali di attacco, i movimenti dei cyber criminali passeranno inosservati. Dotarsi di una buona intelligence significa acquisire maggiore visibilità e ciò può aiutare a individuare i primi segnali di attacco, che è il metodo migliore per costruire la resilienza informatica.
Le minacce che arrivano dagli accessi transitivi e dagli attacchi basati sull’identità
Con gli attacchi basati sull’identità in aumento e sempre più spesso causa di gravi violazioni, la Multi-Factor Authentication (MFA) è stata ampiamente adottata in tutto il mondo. Tuttavia, considerando che quasi il 90% delle organizzazioni ha subito attacchi basati sull’identità nel 2023, l’implementazione della MFA non è sufficiente.
Il motivo principale è legato all’emergere di attacchi informatici basati sull’Intelligenza Artificiale, che si sono intensificati nel 2023. L’AI e il Machine learning si stanno rivelando formidabili moltiplicatori di forza. Consentendo ai criminali informatici di lanciare attacchi altamente complessi e automatizzati che aggirano o superano le normali protezioni MFA. Tuttavia, gli attacchi guidati dall’AI non sono gli unici che alimentano la crescita degli attacchi diretti all’identità.
Diversi rischi comuni legati alle cosiddette “situational threat” o minacce situazionali stanno portando ad attacchi basati sull’identità di grande successo.
Tali tipologie di attacco sono gestibili, a patto che l’organizzazione si doti delle migliori capacità di rilevamento. Il primo passo è valutare i rischi di minaccia all’interno del proprio ambiente, che potrebbero non essere coperti – né rilevabili- dalle procedure di identity access management (IAM) o persino da quelle di privileged access management (PIM). Ecco le cinque principali minacce situazionali che contribuiscono al rapido aumento degli attacchi basati sull’identità e che, con la giusta soluzione, sono facilmente prevenibili.
Con l’aumento del ricorso ad applicazioni, appaltatori e servizi esterni, aumenta anche il rischio di attacchi basati sull’identità. Il mantenimento di un rigoroso controllo degli accessi alle reti, ai servizi e alle applicazioni sensibili diventa più impegnativo con l’aumentare del numero di partner e fornitori terzi. Anche i dipendenti possono essere una fonte importante di rischio per l’identità. La maggior parte spesso non segue neppure i protocolli di sicurezza più elementari. Il 62% dei professionisti utilizza una sola password per più account. Il 31% delle organizzazioni dichiara di aver subito attacchi di tipo brute force o password spraying nell’ultimo anno. Un altro rischio molto comune è che ai dipendenti venga concesso un accesso ai dati, alle applicazioni e alle reti superiore a quello necessario per svolgere il proprio lavoro. Garantire un accesso troppo ampio apre la porta a dipendenti che potrebbero diventare vettori inconsapevoli di attacchi.
Le minacce e le capacità di rilevamento
Il panorama delle minacce conferma che gli aggressori stanno sfruttando le lacune anche nei sistemi di sicurezza più sofisticati. Adattando così tattiche, tecniche e procedure in tempi sempre più rapidi e in accelerazione e, per di più, con approcci ibridi e sulle identità sempre più avanzati. In questo scenario, la capacità di difendere l’azienda dagli hacker diventa inevitabilmente ogni giorno più impegnativa. È quindi necessario cambiare prospettiva e strategia difensiva: bisogna presumere che le violazioni si stiano verificando da qualche parte. E così capire dove, quando o come bloccarle senza danni, interruzioni o perdita di dati. Tutto ciò pone però i SOC davanti a un dilemma. Ovvero, decidere su quali incidenti concentrarsi per primi, sperando che nessun attacco invisibile e irrisolto comporti un rischio maggiore per l’organizzazione.
Poiché le nuove tecnologie non smetteranno mai di essere sviluppate e essere adottate sia dai difensori sia dagli aggressori, aggiungendo ulteriori strumenti per affrontare queste nuove vulnerabilità, tutto ciò genera falsi positivi, anomalie, più avvisi e più alert a fronte di un tempo inferiore per gestirli.
In altre parole, maggiore è la tecnologia e gli strumenti utilizzati dal team SOC, maggiore sarà, paradossalmente, il ritardo d’intervento e peggiori saranno i risultati. Proprio per questo motivo occorre sviluppare un adeguato sistema XDR che garantisca copertura, chiarezza e controllo.
Quando si tratta di rilevare le minacce e individuare gli attacchi, l’elemento chiave è la visibilità. Attraverso la tecnologia, le persone e i processi, le organizzazioni devono massimizzare la propria visibilità sull’intero ecosistema aziendale: dagli endpoint ai server, dalle reti ai fornitori di cloud, fino ad arrivare ai server delle app web.
Per questo, Vectra AI ha valorizzato il proprio lavoro pionieristico nel campo dell’intelligenza artificiale per sviluppare la piattaforma XDR incentrandola su cosa desiderano i clienti. Ovvero alert mirati e in tempo reale sull’intera superficie ibrida, per abilitare i team SOC a indagare e rispondere velocemente e su vasta scala alle minacce concrete.
