Il parere di Vectra AI

Qual è l’approccio migliore da adottare per una valutazione adeguata del rischio e una gestione efficace delle vulnerabilità delle infrastrutture pubbliche, al fine di implementare misure di sicurezza efficienti?

Dal punto di vista di un attaccante, una delle vie più efficaci per ottenere successo in un attacco cyber è identificare e sfruttare una vulnerabilità nelle tecnologie, processi o persone di un’azienda. Le vulnerabilità, infatti, si presentano per un’ampia varietà di ragioni e possono essere difficili da individuare anche sui sistemi più semplici. Alcuni esempi possono comprendere lo sfruttamento di una vulnerabilità in un sistema operativo non correttamente aggiornato, una debolezza nel codice di un’applicazione web, ma possono essere anche derivate dal fattore umano, come una forza lavoro non informata dei pericoli legati ad allegati sospetti ricevuti via email oppure, infine, legate a falle nei processi, come una non corretta segregazione dei ruoli e relativi permessi di accesso alle risorse.

Data la complessità di far fronte a una lista sempre più crescente di vulnerabilità, con nuove CVE (Common Vulnerabilities and Exposures) che vengono scoperte ogni giorno, c’è necessità di adottare una strategia che essere focalizzata in parallelo a:

• Realizzare un programma di gestione delle vulnerabilità (Vulnerability Management) che si basi su un approccio focalizzato sul rischio, al fine di dare priorità alle vulnerabilità in base all’importanza dell’asset coinvolto e stabilire una corretta tempistica per il rimedio. Il programma dovrà essere pienamente integrato con l’infrastruttura e l’azienda in termini di tecnologia e processi, con un monitoraggio attivo utile a garantire agilità e miglioramento continuo.
  
  
• Migliorare le capacità di rilevamento e risposta alle minacce. Identificare, rilevare e rimediare una vulnerabilità è un processo che richiede un quantitativo di tempo, maggiore o minore in base all’agilità dei processi e tecnologie aziendali e alle caratteristiche della vulnerabilità o alla più semplice disponibilità della patch stessa; essendo quel tempo di rimedio a disposizione dell’attaccante per sfruttare la vulnerabilità, compromettere l’asset coinvolto e generare un impatto, è estremamente opportuno migliorare le proprie capacità di rilevamento di un attacco attraverso strumenti che, analizzando la rete ed utilizzando IA focalizzata a identificare le tattiche e tecniche di attacco, riescano a rilevare la compromissione e bloccare l’attaccante prima che raggiunga il suo obiettivo. E inoltre, una volta che l’attaccante è dentro, installare la patch sul sistema inizialmente compromesso non è di grande aiuto.

Come garantite, mediante le vostre soluzioni, una risposta rapida ed efficace alle minacce in continua evoluzione negli ambienti complessi e frammentati come quelli di cui stiamo parlando?

Un’eccessiva dipendenza dalle patch e processi ripristino dei sistemi post-compromissione ha costretto i team SOC a focalizzarsi costantemente a scoprire e rimediare l’exploit del giorno. Come consigliato, ciò che risulta importante è l’abilità e capacità di rilevare velocemente la progressione di un attaccante una volta entrato nell’infrastruttura, utile a fornire una protezione resiliente indipendentemente dalla vulnerabilità o exploit, passato o futuro.

Sebbene le attività dell’aggressore siano difficili da rilevare e distinguere da attività regolari e sicure, l’intelligenza artificiale si è rivelata un valido strumento per farlo, su vasta scala e in tempo reale. Vectra AI lo fa osservando la rete per individuare i modelli di comportamento dell’aggressore, in base ai singoli step e alla progressione complessiva dell’attacco. Infatti, i sofisticati modelli di Vectra, basati su AI/ML, sono progettati per rilevare il comportamento degli attacchi indipendentemente dei tool o dalle firme specifiche utilizzate nell'attacco. Pertanto, i clienti Vectra AI dispongono di sostanziali capacità di rilevamento per campagne di attacco che potrebbero sfruttare note o nuove vulnerabilità, anche prima che le vulnerabilità siano effettivamente identificate, con una copertura che va dal Data Center, Campus, IoT, ma anche Cloud (IaaS, PaaS and SaaS).