Come l'iperautomazione basata sull'intelligenza artificiale sta trasformando la sicurezza informatica

Quando gli analisti della sicurezza lavorano per identificare le minacce informatiche, i dati sulla sicurezza sono la loro finestra sulla rete aziendale più ampia. Che si tratti di file, pacchetti di rete o registri, tutte le tracce devono essere monitorate e gestite in tempi quasi istantanei. L'iperautomazione basata sull'intelligenza artificiale rappresenta la nuova frontiera nella sicurezza informatica: definita da Gartner come l'uso dell'automazione in tutti i processi aziendali che devono essere automatizzati, promette di fornire ai team snelli gli strumenti per gestire l'intera pipeline di sicurezza, dai dati grezzi all'analisi delle minacce, alla correzione degli incidenti e oltre.
#titolo_immagine

In che modo l'intelligenza artificiale e l'apprendimento automatico migliorano la sicurezza informatica aziendale

Collegare tutti i punti in un panorama di minacce complesse

Scopri di più
#titolo_immagine

Scopri la sicurezza basata sull'intelligenza artificiale in azione!

Scopri l'intelligenza artificiale all'avanguardia di Stellar Cyber ​​per il rilevamento e la risposta alle minacce istantanee. Pianifica la tua demo oggi stesso!

Pianifica una demo

Automatizzare i tre pilastri della sicurezza informatica

Le enormi quantità di dati generate nella rete di un'azienda sono troppo per un semplice monitoraggio manuale. Tra raccolta dati, analisi e rimozione delle minacce, definiamo i livelli di maturità dell'automazione di ogni campo e come Stellar Cyber ​​sta spingendo per la massima maturità nell'iperautomazione basata sull'intelligenza artificiale.

Automazione della raccolta dati

Più vicino ai singoli dispositivi, all'hardware di rete e alle applicazioni che compongono lo stack di produttività di un'azienda, la raccolta e il monitoraggio dei dati grezzi determinano la vera visibilità di un'azienda. Esistono due tipi chiave di dati grezzi utilizzati per monitorare lo stato di salute aziendale: registri e attività di rete.

Raccolta di registri

Elemento fondamentale del monitoraggio della sicurezza informatica, i log sono registrazioni di eventi creati da applicazioni, dispositivi di rete e server.

Al livello più elementare di maturità, i log sono inclusi nel processo di analisi della sicurezza informatica tramite la replica dei log, in cui un analista imposta manualmente uno script locale su un server o dispositivo che replica periodicamente tutti i log e li deposita in un repository centrale. Utilizzato principalmente per batch di log, ogni log è spesso formattato per essere leggibile dall'uomo e spesso letto solo quando gli analisti cercano manualmente di risolvere un problema o di esplorare come è iniziato un incidente di sicurezza.

Al livello medio di maturità dell'automazione, questo processo inizia a incorporare la visibilità in tempo reale estraendo automaticamente i log in un sistema di gestione centrale, solitamente tramite un'API o una configurazione dell'applicazione più approfondita. Anche la formattazione individuale dei log diventa più incentrata sulla macchina, con una maggiore enfasi sui layout strutturati che possono essere facilmente ingeriti dagli strumenti di gestione dei log. Gli analisti devono ancora aiutare manualmente questi strumenti nella selezione dei dispositivi da includere e spesso devono tornare a campionare e adattare le loro pratiche di gestione dei log nel tempo.

Infine, l'ingestione di log nella sua forma più automatizzata va oltre un sistema di raccolta pura per incorporare la scoperta automatica dei dispositivi. Che sia tramite API, fonti di log o sensori nativi, ogni dispositivo aziendale può essere scoperto e tracciato, indipendentemente dalla sua attività sulla rete.

Monitoraggio della sicurezza della rete

Il monitoraggio della sicurezza di rete prende le distanze dalle singole azioni all'interno dell'applicazione e analizza invece il traffico che scorre attraverso una rete aziendale per valutare le azioni dannose.

Gli approcci non AI al monitoraggio della sicurezza di rete hanno funzionato bene in passato, ma i criminali informatici hanno rapidamente adattato i loro approcci a essi. I vecchi strumenti di sicurezza confrontano semplicemente le informazioni sui pacchetti di rete con un elenco predefinito di strategie note, e i vecchi firewall hanno difficoltà a gestire il traffico crittografato end-to-end di oggi.

Gli strumenti di sicurezza di rete automatizzati possono raccogliere informazioni da fasce di reti molto più vaste, sia su cloud pubblici che privati ​​e su hardware on-premise. Sensori di rete di Stellar Cyber scavare in profondità, raccogliendo metadati su tutti gli switch fisici e virtuali. I suoi sensori decodificano i payload tramite Deep Packet Inspection e possono funzionare su server Windows 98 e successivi, insieme a Ubuntu, Debian e Red Hat.

Raccogliere tutti questi dati può essere fondamentale per una solida sicurezza informatica, ma è ancora necessario trasformarli in informazioni e, soprattutto, in azioni.

Automazione dell'analisi dei dati

C'è un grado di analisi dei dati che richiederà sempre l'esperienza e la conoscenza di un vero essere umano. Tuttavia, i progressi nell'analisi automatizzata ora consentono agli analisti di prendere decisioni urgenti con maggiore chiarezza che mai.

L'analisi degli eventi in una fase iniziale dell'automazione spesso si basa sul fatto che un analista debba collegare i puntini da solo, che si tratti di una versione software che necessita di patch o di un difetto supervisionato. Nel peggiore dei casi, l'aggressore è a conoscenza del difetto, e lo sfrutta attivamente, prima ancora che un analista ne sia a conoscenza. Sebbene sia ancora manuale, la raccolta di tutti i diversi formati di dati in una dashboard centrale è il fondamento dell'ormai onnipresente strumento Security Information and Event Management (SIEM).

Circa un decennio fa, una delle capacità vantate dai professionisti della sicurezza altamente qualificati, ovvero la capacità di riconoscere un attacco a cui avevano assistito in precedenza, poteva essere improvvisamente esercitata da team più nuovi grazie al rilevamento basato sulle firme. Così le organizzazioni hanno iniziato a trarre vantaggio da un livello medio di analisi automatizzata. Se una firma di file o un indirizzo IP corrispondevano a un attacco precedentemente contrassegnato, un analista poteva essere avvisato immediatamente (solitamente tramite il proprio strumento SIEM).

Tuttavia, questa forma basilare di analisi degli eventi non aveva ancora sostanzialmente alcuna risposta agli attacchi zero-day o novel. Inoltre, gli analisti si trovavano di fronte a una sfida ancora più grande: gli eventi di sicurezza venivano generati molto più velocemente di quanto potessero essere elaborati.

(Probabilmente) hai già familiarità con l'analisi automatizzata

L'apprendimento automatico prende grandi quantità di log ed eventi di rete e li esegue tramite un algoritmo, che poi ne apprende i singoli modelli. Questa è la base del monitoraggio comportamentale: quando eseguito per lunghi periodi di tempo, diventa possibile per gli algoritmi creare un benchmark per il comportamento tipico del dispositivo. Ad esempio, se un utente trascorre solitamente la giornata lavorativa modificando documenti e inviando messaggi ai colleghi tramite Teams, i motori di analisi comportamentale (come quello che alimenta Stellar Cyber) sono in grado di avvisare gli analisti quando un account utente inizia improvvisamente ad accedere a molti file diversi in un momento della giornata completamente inaspettato. Gli analisti possono ordinare gli utenti in base al loro punteggio di rischio, consentendo una rapida individuazione.

Sebbene l'analisi comportamentale basata sulle anomalie possa prevedere e quindi prevenire gli attacchi, può essere soggetta a falsi positivi e a confondere i flussi di lavoro di risposta agli incidenti: è qui che l'ultimo livello di automazione della sicurezza sta apportando il cambiamento più grande oggi.

Gli ultimi due passaggi, ovvero la raccolta e l'analisi dei dati, portano entrambi a un obiettivo: la risposta agli incidenti.

La risposta agli incidenti che si basa su un livello base di automazione richiede all'analista di disattivare manualmente l'accesso alla rete quando mette in quarantena dispositivi infettati da malware, installa da remoto nuove patch software e reimposta password e nomi utente per gli utenti i cui account potrebbero essere stati violati. Potresti notare che sono principalmente di natura reattiva: questo è il risultato del ritmo lento dell'intervento manuale.

Avanzando verso un livello intermedio di automazione della risposta agli incidenti, questo prende le basi dell'analisi comportamentale e agisce di conseguenza, spesso negando automaticamente agli utenti sospetti l'accesso a risorse critiche o avvisando l'analista corretto in base alla sua area di competenza. I playbook consentono ai team di sicurezza di mantenere il pieno controllo sulle risposte automatiche, consentendo a uno strumento basato sull'intelligenza artificiale di eccellere nell'esecuzione delle attività ripetibili e banali della sicurezza informatica quotidiana.

Questo livello di automazione degli incidenti è tuttavia fortemente suscettibile a un problema: i falsi positivi. Questi possono imporre in modo errato delle restrizioni a un utente o a un dispositivo, con un impatto grave sulla produttività. Le aziende con pipeline di risposta agli incidenti mature stanno già elaborando un processo di risposta agli incidenti ad alta precisione: è tramite iperautomazione.

Come l'iperautomazione di Stellar Cyber ​​sta trasformando la risposta agli incidenti

Nell'introduzione, abbiamo spiegato come l'iperautomazione sia il processo di sovrapposizione di livelli di automazione per produrre il miglior risultato aziendale possibile. Negli stack di sicurezza maturi, l'iperautomazione combina l'analisi approfondita e basata su pattern degli algoritmi di apprendimento automatico con il processo di contestualizzazione degli incidenti.

Graph ML di Stellar Cyber ​​è in grado di mappare le correlazioni tra i singoli avvisi di anomalia e di trasformarli in casi: convertendo migliaia di avvisi nelle poche centinaia di eventi reali di cui potrebbero far parte. Ogni caso viene quindi automaticamente arricchito e prioritizzato, in base alle caratteristiche uniche dei singoli avvisi. Infine, agli analisti viene presentato un unico punto di riferimento: una dashboard che raccoglie tutti i comportamenti, i difetti e i dispositivi della loro organizzazione in casi semplificati.

Se la tua organizzazione non ha ancora raggiunto il massimo livello di maturità nell'automazione, non preoccuparti: è normale che la maturità dell'automazione progredisca sporadicamente, poiché gli strumenti vengono aggiornati ogni pochi anni. Se sei curioso di sapere come Stellar Cyber ​​offra la piattaforma Open XDR più conveniente sul mercato, contattaci per una demo oggi.

Sembra troppo bello per
essere vero?
Guardalo tu stesso!

Richiedi una demo
Scorrere fino a Top
Iscriviti alle newsletter