Risponde Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI
Nel 2024 assisteremo a un forte incremento degli attacchi, soprattutto negli ambienti ibridi. I cybercriminali punteranno soprattutto sulle aziende che hanno una parte dell’infrastruttura in cloud e una parte on-premise, perché proprio questa dualità genera complessità a livello di sicurezza. Vedremo una maggiore concentrazione di attacchi diretti contro le credenziali e le identità, attraverso tecniche di social engineering e vulnerabilità anche di tipo zero day, e si confermerà la crescita dei ransomware, tuttora estremamente utilizzati ed efficaci.
Per il 2024 i nostri esperti prevedono che oltre il 50% degli incidenti di sicurezza non riguarderà la compromissione di endpoint: assisteremo infatti a una nuova era di minacce rivolte principalmente ai sistemi di identità federata, ai cloud pubblici e alla compromissione delle email aziendali. Questa nuova tipologia di attacchi sfrutterà le vulnerabilità e la relativa immaturità delle pratiche di sicurezza legate al cloud, all'identità e alle applicazioni SaaS.
Le credenziali rubate verranno utilizzate per compromettere le identità digitali e violare le imprese in maniera più efficace di quanto avvenuto finora. In passato il furto di credenziali permetteva agli autori delle minacce informatiche di accedere a una manciata di account aziendali, ma la maggior parte non dava loro diritti di amministrazione o accesso privilegiato per rubare dati sensibili. Adesso, invece, le aziende utilizzeranno sempre più servizi cloud, software di terze parti e API aperte, di conseguenza ogni account rubato potrà offrire diversi gradi di privilegio.
Ciascuno di questi vettori di attacco, in sé considerato, potrebbe non rappresentare un grosso problema, ma prevediamo che i criminali informatici saranno in grado di “mescolare” e combinare gli accessi rubati per entrare in possesso di dati sensibili e violare le organizzazioni. Per proteggersi, le organizzazioni devono migliorare la visibilità degli ambienti cloud, in modo da poter rafforzare la resilienza e individuare gli attacchi prima che si trasformino in una violazione.
Sebbene gli strumenti di prevenzione facciano un ottimo lavoro nel fornire visibilità sulle risorse di cloud, sulle configurazioni errate e sulle impostazioni non conformi, sono insufficienti quando si tratta di rilevare nuovi vettori di attacco. Per proteggere gli ambienti cloud, è indispensabile che i team SOC si concentrino sull’identificazione degli incidenti di sicurezza. La nostra tecnologia è pensata per lavorare in ambienti complessi e distribuiti, indirizzando ambienti cloud, on-prem e SaaS in near real-time, e per integrarsi nello stack tecnologico già in uso all’azienda. Sfrutta l'intelligenza artificiale per andare oltre le anomalie basate sugli eventi, concentrandosi invece sui comportamenti - le TTP (tattiche, tecniche e procedure) alla base di tutti gli attacchi.
Vectra AI offre un’intelligence integrata del segnale di attacco che consente ai team di sicurezza di muoversi alla velocità dei moderni attaccanti ibridi per identificare comportamenti che altri strumenti non sono in grado di individuare. Sfruttando la potenza dell’Intelligenza Artificiale per analizzare il comportamento degli attaccanti e per classificare, correlare e dare priorità in modo automatico agli incidenti di sicurezza, la Vectra AI Platform fornisce il segnale integrato che alimenta l’XDR.
Tale segnale consente ai team di sicurezza di coprire oltre il 90% delle tecniche MITRE ATT&CK con le contromisure brevettate MITRE D3FEND. Permette, inoltre, di combinare il rilevamento guidato dall’AI basato sul comportamento, le firme e la threat intelligence per ottenere la rappresentazione più accurata degli attacchi in corso. La chiarezza del segnale che ne deriva consente a Vectra di portare alla luce tempestivamente attacchi sofisticati in più fasi, in modo che i team SecOps possano rapidamente stabilire le priorità, indagare e rispondere alle minacce più urgenti. La tecnologia Vectra lavora analizzando i comportamenti anche all’interno di flussi di dati criptati, senza la necessità di procedere a decriptazione.