Le moderne tattiche, tecniche e procedure (TTP) dei criminali informatici sono diventate rapide e numerose mentre le minacce avanzate come ransomware, cryptojacking, phishing e attacchi alla software supply chain sono in esponenziale aumento.
La crescente dipendenza della forza lavoro globale dalle risorse digitali aggiunge un altro aspetto all’aumento superficie di attacco che ora condividiamo tutti. Nel tentativo di far fronte a queste sfide, le aziende incaricano i propri CISO di sviluppare, mantenere e aggiornare costantemente le proprie strategie e soluzioni di sicurezza informatica.
Da un punto di vista tattico, i CISO garantiscono che l'architettura di sicurezza della loro azienda possa resistere al panorama delle minacce moderne in continua evoluzione.
Ciò significa scegliere lo stack di strumenti giusto in grado di combattere le minacce informatiche complesse alla velocità vertiginosa con cui appaiono. Poiché le soluzioni di sicurezza reattive e a livello singolo non possono più tenere il passo con i criminali informatici sempre più sofisticati, i CISO ora devono raggruppare insieme soluzioni multilivello e proattive per costruire una posizione di difesa adeguata.
Anche il compito di costruire il giusto stack di sicurezza è costantemente in discussione, anche a livello governativo.
Nel maggio 2022, la U.S. Senate Armed Forces Committee’s Subcommittee on Cyber ha tenuto un congresso sull'importanza di sfruttare l'intelligenza artificiale (AI) e il machine learning (ML) all'interno del cyberspazio.
In tale congresso, che includeva i rappresentanti di Google e del Center for Security and Emerging Technology della Georgetown University, si è discusso dell'uso dell'AI e del ML per difendersi dagli attacchi informatici, organizzare efficacemente i dati ed elaborare milioni di vettori di attacco al secondo, superando di gran lunga qualsiasi capacità “human-only” di rilevamento delle minacce.
Il comitato ha anche evidenziato una preoccupazione crescente che si sta verificando ora nell’ambito della sicurezza informatica: la "carenza di personale di sicurezza informatica tecnicamente addestrato in tutto il paese sia nel governo che nell'industria".
La carenza globale è preoccupante, con oltre 2,7 milioni di ruoli di sicurezza informatica non occupati secondo il Cybersecurity Workforce Study 2021.
Con una diminuzione delle competenze informatiche, il rapporto tra alert e risposte può rapidamente sopraffare molti team di sicurezza interni. Sfruttare l'AI può aiutare i team oberati di lavoro a potenziare i servizi di protezione e ad automatizzare e orchestrare azioni di risposta complesse e dispendiose in termini di tempo.
Tutti i rappresentanti hanno sottolineato il valore di sfruttare l’AI nella sicurezza informatica con i suoi principali vantaggi riassunti di seguito:
- Elaborazione automatizzata dei vettori di attacco - L'AI è in grado di elaborare milioni di vettori ogni secondo e combattere gli attacchi emergenti rilevando nuovi modelli in tempo reale;
- Supporto del modello Zero-Trust – I modelli umani sono prevedibili e set di dati disparati senza AI semplicemente non sono utilizzabili. L'intelligenza artificiale aiuta a costruire l'analisi completa delle minacce necessaria per sostenere un modello zero-trust funzionante.
- Threat Operations Management - La tecnologia AI può supportare i team di sicurezza informatica automatizzando l'interpretazione dei segnali di attacco, dando priorità ad alert e incidenti e adattando le risposte in base alla scala e alla velocità dell'attaccante.
Giocatori “Analogici” in un Mondo Digitale: i Limiti degli Antivirus Legacy
In un tempo passato, il numero di minacce poteva essere ragionevolmente documentato e contabilizzato. All'epoca, le soluzioni anti-virus (AV) e anti-malware (AM) legacy offrivano alle aziende un mezzo per bloccare le minacce note: varianti di malware che erano già state rilevate e a cui era stata assegnata una firma che venivano quindi distribuite a tutti gli endpoint protetti.
Queste soluzioni AV e AM legacy sono basate su firme, progettate per segnalare le minacce note ma cieche a qualsiasi cosa inaspettata. Ciò consente la comparsa di un divario tra l'utilizzo iniziale del malware e l'esistenza di una nuova firma per bloccarlo.
Il problema con il panorama delle minacce odierno è che gli attori delle minacce sono diventati incredibilmente abili nel creare nuovi malware.
VirusTotal segnala che riceve 2 milioni di nuovi campioni ogni giorno. Solo nel 2021, hanno riferito che oltre un milione di campioni firmati con certificati legittimi sono risultati sospetti. In grado di difendersi solo dalle minacce note, AV e AM legacy semplicemente non sono in grado di tenere il passo con la raffica di nuovi malware, ransomware, vulnerabilità zero-day in arrivo o nuove tecniche di hacker.
Durante un attacco, la velocità è fondamentale, ma le soluzioni legacy come AV e AM non sono in grado di rilevare e fermare gli attacchi dannosi in tempo reale. AV e AM sono validi solo quanto il loro ultimo aggiornamento e le analisi attuabili degli attacchi precedenti in genere risalgono a settimane o mesi quando sono utilizzabili da queste soluzioni.
Perché AI e ML si fanno Strada nella Sicurezza Informatica
L'intelligenza artificiale e il machine learning possono essere sfruttati in modo molto efficace contro le minacce moderne e le loro capacità vanno ben oltre l'identificazione e la segnalazione delle minacce note.
Sono progettati per apprendere i modelli di minaccia emergenti e identificare nuovi comportamenti dannosi in base alla loro somiglianza con gli exploit esistenti, i TTP degli attori delle minacce e il malware. L'applicazione di AI e ML è preziosa per rafforzare la strategia di sicurezza informatica di un'organizzazione.
1 - Strategie e Risposta Preventiva – Con AI e ML, una soluzione di sicurezza può rilevare e prevenire autonomamente file e processi dannosi nelle prime fasi del ciclo di vita dell'attacco. La maggior parte degli attacchi malware di base possono essere prevenuti e corretti prima che vengano eseguiti, riducendo la superficie di attacco e riducendo il carico sul team di triage del malware dell'organizzazione.
2 - Threat Hunting Accelerato – L'intelligenza artificiale e il machine learning, insieme a potenti capacità di monitoraggio, offrono agli analisti SOC una visibilità approfondita su ciò che è effettivamente accaduto su un dispositivo durante un incidente di sicurezza informatica. Piuttosto che affrontare un lungo processo di triage manuale, gli analisti ricevono storyline precorrelate che rivelano le relazioni tra gli eventi, ovviando in molti casi alla necessità di utilizzare ulteriori strumenti forensi.
3 - Policy di Sicurezza Migliorate – Una soluzione di sicurezza supportata dall'intelligenza artificiale offre agli utenti la possibilità di selezionare il livello di protezione che desiderano automatizzare. Ad esempio, nel caso di un dispositivo o utente particolarmente critico, è possibile abilitare la correzione automatica su qualsiasi attività sospetta. In altre situazioni, potrebbe essere impostata una regola più permissiva, che consente alle attività sospette di generare alert ma senza alcuna riparazione automatizzata.
L’Approccio SentinelOne | Come AI e ML Ottimizzano la Tua Sicurezza
L'approccio migliore per i CISO che creano uno stack di sicurezza scalabile consiste nel far convergere AI e ML insieme ad analisti esperti. Una combinazione intelligente di questi elementi può amplificare i punti di forza del team IT di un'azienda, coprendo al contempo eventuali punti deboli e la chiave di questo approccio risiede nell'automazione.
Endpoint Protection (EPP) ed Endpoint Detection and Response (EDR) di SentinelOne combinano perfettamente l'automazione con AI e ML per rilevare e correggere gli attacchi moderni in tempo reale, rapidamente e senza interventi aggiuntivi.
Ciò significa che le aziende possono concentrare le proprie risorse nell'affrontare compiti specifici delle operazioni. La soluzione EPP di SentinelOne sostituisce completamente anche le soluzioni AV e AM legacy e può essere ridimensionata e adattata per soddisfare i requisiti e i processi specifici di un'azienda.
SentinelOne si concentra sull'agire in modo più rapido e intelligente attraverso la prevenzione basata sull'intelligenza artificiale e il rilevamento e la risposta autonomi. Con la piattaforma Singularity XDR, le organizzazioni ottengono l'accesso ai dati di back-end in tutta l'organizzazione attraverso un'unica soluzione, avendo una visione coerente della propria rete e delle proprie risorse e aggiungendo un livello di sicurezza autonomo in tempo reale su tutte le risorse aziendali.
Singularity™ Identity offre una piattaforma facile da gestire che previene, rileva, risponde e ricerca nel contesto di tutte le risorse aziendali, consentendo alle organizzazioni di vedere ciò che non è mai stato visto prima. È l'unica piattaforma basata sull'intelligenza artificiale che fornisce una ricerca avanzata delle minacce e una visibilità completa su ogni dispositivo, virtuale o fisico, on-premise o nel cloud.
Scopri di più su come SentinelOne aiuta le organizzazioni a prevenire, rilevare e far fronte alle minacce in tempo reale inviandoci una mail all’indirizzo cio@florence-consulting.it o chiamando il numero (055) 538-3250.
In alternativa, puoi compilare il form sottostante con la tua domanda.