Vectra AI è da poco entrata nel mercato italiano e sta proponendo la sua piattaforma Cognito, che usa l'Intelligenza Artificiale per bloccare le minacce informatiche.
Vectra AI è un vendor di cyber security che ha da poco esordito in Italia portando con sé il bagaglio di conoscenze ed esperienze acquisite in otto anni di attività negli Stati Uniti e quattro in Europa. A gestire questa delicata fase di implementazione del business sono Massimiliano Galvagna, Country Manager di Vectra AI Italia e ad Alessio Mercuri, Security Engineer.
Complessivamente Vectra AI è presente in 35 Nazioni a livello globale, e le sue soluzioni mappano circa 8 milioni di device. Le attività di network detection and response proposte da Vectra AI vengono erogate tramite la piattaforma Cognito, che si basa sull'Intelligenza Artificiale per analizzare il traffico su cloud pubblico e privato, dei datacenter, dei remote worker, dei dispositivi IoT e altro.
Oltre alle persone presenti in Italia, il team di Vectra AI include team internazionali di matematici, threat researcher, data scientist, designer per la user interface. Su questi ultimi Galvagna mette l'accento, per sottolineare che "è importante focalizzarsi sulla semplicità d'uso dell'interfaccia, perché durante un attacco informatico si lavora sotto stress, e gli analisti devono essere concentrati sull'analisi, non sulle complicazioni dello strumento in uso".
È l'Intelligenza Artificiale a conferire valore aggiunto alla piattaforma Cognito di Vectra AI sia nel rilevamento e blocco di nuovi attacchi e compromissioni, sia nell'indirizzamento di problematiche di data breach. Galvagna durante l'incontro di presentazione con la stampa ha tenuto a sottolineare che "oggi il panorama della sicurezza è incentrato sulle tecnologie di detection, che si rivelano inefficaci e inadeguate quando l'attaccante bypassa i sistemi di sicurezza. È qui che entra in gioco Vectra AI, per rilevare ciò che non è noto, e che è sfuggito alle tecnologie di security esistenti".
Per farlo, Cognito non usa un algoritmo generico ma, come ha spiegato Alessio Mercuri, "analizza le tecniche di attacco con un algoritmo di Machine Learning maggiormente indicato per identificare ogni specifica tecnica e comportamento degli attaccanti. Consente di rilevare con accuratezza le tecniche e di sottoporre all'attenzione all'analista solo i casi davvero critici, così da ridurre il carico di lavoro per i team di sicurezza".
Una delle principali caratteristiche di Cognito è la sua capacità di integrarsi nell'ecosistema del cliente sia per soluzioni sicurezza in essere sia per flussi analisi in uso. Cognito si integra con i maggiori SIEM sul mercato, con gli EDR, con i SOAR, con firewall, con le soluzioni di network access control, con l'obiettivo di complementare e massimizzare la capacità di risposta dei clienti.
Alessio Mercuri ha presentato la principale novità introdotta nella piattaforma Cognito, ossia il modulo Detect for AWS. Si tratta di una soluzione SaaS cloud-native che garantisce il rilevamento delle minacce informatiche, l’assegnazione di priorità, l’investigazione e la risposta ad attacchi che prendono di mira le applicazioni in ambienti AWS, così come gli utenti, gli endpoint e gli spazi di archiviazione, incluso l’uso dello stesso control plane su AWS. Detect for AWS opera in modo continuo, scalabile e senza necessità di intervento umano: funziona sia in runtime sia in maniera olistica in tutte le regioni AWS e non richiede il packet mirroring.
Alessio Mercuri, Security Engineer
Il motivo di tanto interesse verso questa applicazione è che il cloud è diventato parte integrante delle organizzazioni, la ma sua sicurezza è complessa ed espone a nuove e potenziali minacce. Come ha ricordato Mercuri, "nell'ultimo anno sono aumentati del 50% i data breach ai danni di infrastrutture in cloud. Negli attacchi più recenti gli attaccanti si sono mossi da ambienti on-premise a quelli cloud e viceversa. Per questo serve una visione consistente in tutti gli ambienti. Vectra AI, con Detect for AWS, estende la capacità di threat detection e di response con l'Intelligenza Artificiale, senza bisogno di firme e di agenti".
I modelli sviluppati per questo modulo analizzano le interazioni fra utenti e risorse e identificano i comportamenti di un possibile attaccante, come per esempio l'uso sospetto di credenziali, l'impiego di tecniche di raccolta informazioni nei container bucket, le tecniche di decryption tipiche dei ransomware e l'esfiltrazione di dati. Allo stesso modo agiscono sull'esposizione volontaria o involontaria di risorse verso l'esterno. Una volta rilevato il comportamento sospetto, vengono sottoposte gli analisti tutte le informazioni utili affinché possano intervenire prima che la minaccia prenda corso.
In questa fase di avvio Vectra AI si sta focalizzando sul mercato large enterprise, in quanto Vectra nasce per indirizzare problematiche su grandi aziende. Tuttavia, la sua tecnologia ha la flessibilità che consente di posizionare l'azienda anche sul mid-market, andando a interessare l'ampio tessuto industriale italiano.
Massimiliano Galvagna, Country Manager di Vectra AI Italia
Il go to market è totalmente basato sul canale. Attualmente l'azienda ha sei partner con cui lavora a stretto contatto, tutti focalizzati sulla cyber security. Oltre a proporre la piattaforma Vectra AI, i partner svolgono anche un servizio MSSP e SOC avanzato. L'azienda vanta poi delle global alliance con aziende presenti anche in Italia. Fra gli obiettivi nel breve periodo c'è l'ampliamento dei partner: quelli ideali devono coprire tutto il territorio nazionale, essere focalizzati sulla cyber security e disporre di elevate competenze di networking.
I partner certificati che erogano un servizio MSSP servono sia i clienti che acquistano la tecnologia Vectra AI e la danno in gestione al partner, sia i clienti che comprano un servizio a tutto tondo. Da notare che gli MSSP servono tipicamente aziende del mid-market, perché i clienti che hanno un SOC e hanno investito in un SIEM in genere gestiscono autonomamente la piattaforma.
In questa prima fase è centrale la brand awareness, portata avanti con attività di marketing e di lead generation, eventi stampa ed eventi executive per CISO e SOC manager. In parallelo è attiva poi un'importante azione di formazione tecnica e commerciale ai partner.