Tutti i vendor di cybersecurity hanno ormai a listino soluzioni che fanno uso delle AI. Dato che la sicurezza informatica non è solo una moda, è indispensabile saper valutare se queste AI sono davvero efficaci, ecco alcune indicazioni.
Ormai è ampiamente appurato che le AI nella sicurezza informatica sono ormai una dotazione sine qua non. Del resto, con i criminali informatici che sfruttano e sfrutteranno sempre di più questa tecnologia per attaccare, impiegare strumenti di pari caratura è l’unica chance di successo dei difensori. Secondo Gartner, la possibilità di aggiungere servizi gestiti in aggiunta al segnale offerto dall’AI può alleggerire il SOC da compiti come il monitoraggio delle minacce H24, la messa a punto del rilevamento e il triage o altri compiti che sottraggono tempo agli analisti, ottenendo al contempo un ampliamento del team con esperti di AI e di piattaforma.
La sovraesposizione mediatica di una tecnologia, però, non è sempre un elemento positivo: da pochi vendor specializzati nella realizzazione di soluzioni AI si è passati in men che non si dica a una apparente specializzazione di massa. Oggi tutti promettono soluzioni di AI per qualsiasi esigenza, ma non tutti i prodotti con l’etichetta “AI” sono parimenti efficaci, funzionali, affidabili e, in ultima analisi, imperdibili. Come comprendere quali soluzioni sono davvero efficaci?
La domanda è d’obbligo, la risposta non è semplice se non si conoscono a fondo le minacce, le esigenze e le tecnologie. A fare il punto ci pensa Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI, azienda che dal 2012 si occupa esclusivamente di tecnologie di cybersecurity basate sulle Intelligenze Artificiali.
Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI
Il primo punto che mette a fuoco Galvagna è che “non esiste un singolo algoritmo o modello di apprendimento in grado di risolvere ogni problema”, in compenso esistono algoritmi ottimali per ciascuno dei problemi che generano un segnale di attacco. Il requisito da verificare è pertanto la modalità con cui la soluzione da valutare rileva, analizza e gestisce il segnale di attacco. Come si verifica? Secondo Galvagna ponendo alcune semplici domande: è in grado di individuare i TTP degli aggressori dopo la violazione? In che modo? Analizza i modelli di rilevamento unici dell’ambiente aziendale? Come? E mette in relazione i rilevamenti su tutte le superfici di attacco attuali e future: rete, cloud pubblico, identità, SaaS, eccetera?
Il processo di selezione è solo all’inizio. Sempre al fine di valutare l’efficacia di una soluzione, è necessario appurare come l’AI lavora per rilevare e dare priorità agli attacchi. È qui che emerge se le soluzioni proposte hanno un’ampia copertura per i comportamenti degli attaccanti, come comand and control, movimento laterale, ricognizione, eccetera. Galvagna sottolinea che “esistono alcune risorse utili che i difensori possono utilizzare per assicurarsi di avere una copertura per le tattiche e le tecniche di attacco più attuali. Una di queste è MITRE ATT&CK, una base di conoscenza dei metodi degli avversari accessibile a livello globale”. Il consiglio è quindi quello di chiedere ai vendor come i suoi rilevamenti si adattano a MITRE ATT&CK.
A questo punto si passa alla fase pratica. Il primo requisiti chiesto dai SOC è l’abbattimento dei falsi positivi. Galvagna rimarca che “i team SOC ricevono in media 4.484 alert al giorno. Non hanno bisogno di più alert, ma piuttosto di un modo per sapere quali sono importanti”. Una soluzione capace di assegnare la giusta prioritizzazione degli alert aiuta fattivamente gli analisti a sapere dove concentrare il proprio tempo. Come verificare questo requisito? Bisogna sapere quali fonti di dati entrano a far parte dell’equazione (e in questo frangente trasparenza e disponibilità sull’algoritmo sono fondamentali). Se l’AI funziona bene, non aumenta il numero degli alert, ma “assegna automaticamente un triage e una priorità ai rilevamenti unici per l’ambiente aziendale, riducendo notevolmente il rumore di fondo degli avvisi (fino all’80%) e generando al contempo una valutazione dell'urgenza dell'attacco. In questo modo, il SOC è in condizione di fare ciò che sa fare meglio: fermare gli attacchi, non gestire gli avvisi” puntualizza Galvagna.
Non è finita, perché anche nell’attività di blocco degli attacchi l’AI ha un ruolo importante che Galvagna non manca di mettere in risalto: “una buona soluzione di Intelligenza Artificiale dovrebbe dare agli analisti un vantaggio, condividendo il contesto degli attacchi alle entità prioritarie con opzioni di risposta automatizzate e manuali. L’AI deve integrarsi con il processo aziendale di risposta agli incidenti, fornendo un punto di partenza e una guida per le indagini attraverso la propria interfaccia o all'interno degli strumenti esistenti (preferibilmente entrambi), in modo da poter disporre di una narrazione completa dell'attacco per intraprendere un'azione intelligente quando necessario”.
L’AI non sostituisce lo stack di sicurezza in uso all’azienda. Se la soluzione di AI è di qualità, vi si integra in modo da valorizzare e capitalizzare meglio gli investimenti antecedenti in cybersecurity. A tale fine, Galvagna fa notare che, sul fronte della detectione response, “la soluzione di intelligenza artificiale deve fornire informazioni all'infrastruttura esistente e facilitare la risposta del team alle minacce più urgenti”.
Tutti gli argomenti trattati fin qui trovano certo risposta sul piano teorico, ma devono trovarne anche una sul piano pratico: esercitazioni di red team o servizi di penetration test “sono fondamentali per convalidare l'efficacia dell’AI” – sottolinea Galvagna, che alza anche l’asticella: “La garanzia offerta dai vendor dovrebbe estendersi alla copertura dei costi di test se il prodotto non è all'altezza. Qualsiasi tecnologia di AI utilizzata per il rilevamento e la risposta alle minacce deve comprendere i TTP utilizzati dagli moderni aggressori ibridi. Uno dei modi migliori per sapere con certezza se la soluzione è all'altezza del compito è simulare attacchi ibridi reali emulando metodi di attacco sia comuni sia sofisticati. Più il segnale di attacco ibrido è accurato, più gli analisti SOC sapranno in che direzione concentrare il proprio tempo e le proprie capacità”.
Dalla teoria alla pratica, l’implementazione e l’esperienza d’uso fanno la differenza. Per questo le aziende svolgono sempre valutazioni tramite PoC che permettano di valutare, per ciascuna situazione, come la soluzione di AI si inserisce nel flusso di lavoro del SOC, e in ultima analisi se è un buon investimento.