Vectra sceglie di declinare l’AI sulla detection e response concentrandosi non sulle anomalie, ma sulle TTP mappate nei framework più accreditati, come MITRE. Massimilano Galvagna presenta l'offerta di nuovi prodotti e servizi.
La direzione del mercato della security è ormai tracciata: l’Intelligenza Artificiale e la threat intelligence sono strumenti di detection sine qua non, in un contesto di cyber attacchi che crescono continuamente per numero e per complessità, con tecniche e strumenti sempre più elusivi e difficili da rilevare. Ad aggravare la situazione è una superficie di rischio sempre più allargata, complici cloud (soprattutto multicloud), lavoro da remoto e moltiplicazione del numero di dati su cui si fonda il business.
Per far fronte a questa situazione i vendor di security si stanno evolvendo velocemente. La direzione verso la semplificazione è ormai corale, sia per alleggerire il lavoro degli analisti, sia per ridurre i tempi di detection e remediation – che si riflettono in proporzione diretta sull’impatto che gli attacchi hanno sul business. Inoltre, semplificare significa ottimizzare i costi e agevolare la visibilità sulla superficie di rischio di cui sopra - che è poi la partita su cui si gioca l’efficienza della security.
Ultimo ma non meno importante, i vendor si stanno in gran parte evolvendo da venditori di soli prodotti a fornitori di servizi e prodotti, perché è ormai appurato che il prodotto da solo non ha più l’efficacia di un tempo. Molti sono i cambiamenti di cui spesso i clienti faticano a comprendere la necessità, ostacolando la comprensione delle peculiarità di ciascuna proposta. La disponibilità di nuovi servizi e prodotti di Vectra AI è stata l’occasione per incontrare Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI e comprendere le sfumature che portano prodotti all’apparenza simili a ottenere risultati molto diversi.
Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI
Il primo oggetto di discussione con Galvagna è stato la presentazione di Attack Signal Intelligence, una nuova soluzione di security che sfrutta l’Intelligenza Artificiale. È indirizzata ai team di security ed è creata per indagare e rispondere agli attacchi in tempo reale. Per questa finalità la Security AI-driven di Attack Signal Intelligence automatizza il rilevamento, la selezione e la definizione delle priorità delle minacce informatiche su public cloud, SaaS, identità e reti.
Massimiliano Galvagna spiega che “Attack Signal Intelligence è la combinazione di due modalità di algoritmi di AI che svolgono due tipi di analisi distinte. La prima è l’analisi in real-time del comportamento dei computer nel senso più ampio del termine (client, server, smartphone, telecamere, stampanti e le soluzioni IoT più disparate), di qualsiasi categoria di utenti (interni o esterni all’azienda), e il comportamento dell’accesso ai servizi – siano essi email, ERP, eccetera. Ossia i tre fondamenti dell’informatica”.
La soluzione di Vectra “cattura il traffico dati e ne analizza il comportamento riportandolo alle TTP (Tattiche, Tecniche e Procedure). Al contrario di altri prodotti, non lavora sulle anomalie, rivela il comportamento e riconduce quello malevolo a una tecnica di attacco. È un approccio molto differente da quello della concorrenza, ed è stato strutturato in questo modo perché – sottolinea Galvagna – “le tecniche di attacco sono molto lente a cambiare. Ci sono TTP scoperte 15 anni fa che sono tuttora valide”.
Dopo la prima fase descritta sopra, l’IA rimappa i comportamenti di computer, utenti e servizi sulle tecnologie di attacco. Nel momento in cui da questo incrocio di dati emerge qualcosa di significativo, Attack Signal Intelligence attiva un secondo livello di approfondimento: il motore riconduce quello che sta accadendo ai TTP noti (tipicamente MITRE ATT&CK), e se rileva una tecnica di attacco la mappa con la conoscenza dell’infrastruttura del cliente per assegnargli la corretta priorità.
La conseguenza diretta è che “l’analista incaricato di monitorare la console non si trova davanti a un evento singolo da correlare e indagare, ma a una scheda dell’incidente che contiene già l’attack chain in cui sono dettagliati tutti gli step che sono avvenuti e i relativi allarmi”. Alla luce di questi dati, gli algoritmi “capiscono” la portata dell’attacco e gli assegnano in automatico una priorità che è ritagliata su misura dell’infrastruttura del cliente.
Ecco perché la Security AI-driven Attack Signal Intelligence di Vectra libera i security analyst dalle ordinarie attività manuali quotidiane e li mette in condizione di fare ciò che sanno fare meglio: investigare e rispondere agli attacchi reali. Come rimarca Galvagna, la soluzione Vectra “riduce al minimo il flusso incontrollato di dati che investe gli analisti. La comprensione dell’incidente e la sua gravità non sono più in carico all’analista, ma agli algoritmi di AI. Quando si attiva l’alert nella console di amministrazione le indagini sono già fatte: l’analista ha sotto agli occhi l’elenco delle macchine coinvolte, delle credenziali utente compromesse, dei servizi abusati e la notifica della gravità di quanto sta accadendo”.
Alla luce di questo modo di procedere, Galvagna sottolinea come “MITRE ATT&CK accredita la nostra soluzione come capace di riconoscere oltre il 90% delle tecniche di attacchi contro network e cloud. E MITRE Defend cita Vectra come il vendor con il maggior numero di metodologie per rilevare le tecniche di attacco”.
Importante è segnalare a che punto entra in gioco la tecnologia Vectra: alla luce della sua lunga esperienza nel settore, Galvagna considera la prevenzione un passaggio importante, ma la cui efficacia è “penalizzata da grossi limiti, perché non esiste un prodotto di prevention che garantisca un’efficacia del 100%. Vectra interviene uno step dopo la prima compromissione, ossia appena fallisce la catena di prevention - tipicamente costituita da firewall, sandbox, CASB e altro - con un focus sulla detection e response”.
Vectra Attack Signal Intelligence è integrata in tutti i prodotti e servizi Cloud, Identity e Network Detection and Response di Vectra: Vectra CDR per AWS, Vectra CDR per Microsoft 365, Vectra IDR per Microsoft Azure AD, Vectra NDR per reti on-premises e cloud e Vectra MDR per cloud, identity e network threat detection and response.
Vectra AI ha annunciato anche la disponibilità dei servizi globali di Managed Detection and Response (MDR) con Attack Signal Intelligence. Grazie alla condivisione delle responsabilità, Vectra MDR rafforza i team SOC dei clienti e dei partner con competenze ed esperienze disponibili 24 ore su 24, sette giorni su sette e 365 giorni l’anno, per mitigare le minacce informatiche più avanzate.
Abbiamo chiesto a Galvagna perché l’azienda abbia ravveduto la necessità di erogare un servizio, al di là della scontata situazione cyber evidenziata sopra. La risposta in prima battuta è la “limitatezza dei team di security, che non hanno (o hanno molto raramente) la capacità di monitoraggio 24x7”. Qui ci si riallaccia a tre argomenti in particolare: il primo, ben noto, è che fatta eccezione per le grandi aziende, nell’ampio tessuto di PMI è raro trovare anche solo una figura verticale sulla security. I SOC sono appannaggio esclusivo delle grandi aziende – dove si possono trovare anche più livelli di SOC. Per il resto la situazione più diffusa è la presenza di una sola persona che deve giostrarsi fra IT, security, gestione dei dati, gestione degli accessi e via dicendo.
Questo non è compatibile con la necessità di supervisione delle moderne piattaforme di security, che possono svolgere “operazioni automatizzate di response, ma richiedono la presenza di analisti che prendano decisioni o che proseguano l’indagine sul prodotto compromesso” – che è poi il ruolo odierno dell’analista dotato di tecnologia EDR. Servono quindi persone focalizzate sulla sicurezza, e presenti H24 perché l’opportunismo degli attaccanti li porta a sfruttare ogni agevolazione che le potenziali vittime gli lasciano, fra cui la copertura del monitoraggio. Sempre più spesso gli incidenti si verificano nel fine settimana, la notte o nei giorni di vacanza. Questo fa sì che il monitoraggio ininterrotto non possa più essere un optional o un lusso.
Appurato di non poter fare a meno degli analisti, Vectra offre loro una “semplificazione tale da permettergli di indagare rapidamente un attacco e impedire che si trasformi in una violazione”. Secondo dati interni forniti da Vectra, con la sua soluzione i team di sicurezza sono più efficienti dell’85% nell’identificare le minacce reali e ottengono una produttività delle operazioni di sicurezza due volte superiore.
Le aziende che hanno un SOC interno possono sfruttare direttamente la piattaforma Vectra. Chi non può permettersi un investimento in questo senso può fare affidamento sui system integrator e sui partner fornitori di servizi gestiti. A questo proposito Galvagna sottolinea che “Vectra non vuole essere un competitor, è e resta un’azienda focalizzata sulla threat detection and response, declinata con tecnologie e servizi MDR. Nel caso del grande system integrator, Vectra affianca il personale interno fino al momento in cui la sua tecnologia non si è consolidata all’interno delle procedure di SOC, poi si sgancia”.
Discorso differente è quello degli MDR, a cui propone “una soluzione semplice, che è un valore inestimabile per gli analisti deputati all’erogazione di servizi ai clienti. Non dà segnali inutili, riduce il numero di alert e presenta una scheda incidente chiara con tutti i dettagli necessari per agire velocemente”.