Scenari della cybersecurity, Massimiliano Galvagna di Vectra AI

agile vectra.ai cybersecurity

Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI, traccia per noi gli scenari attuali in ambito cybersecurity e analizza potenziali e sfide del mercato.

– La situazione globale degli attacchi è preoccupante e in continua evoluzione. Quali osservatori previlegiati, quali tendenze potete evidenziare?

Il 2022 si è confermato un anno complesso, sia in termini di sofisticatezza delle minacce rilevate sia per numero di attacchi andati a segno. I ransomware rappresentano ancora la minaccia più temuta, a cui si sono aggiunti gli attacchi informatici legati al conflitto tra Russia e Ucraina. C’è il rischio che cresca l’aggressione informatica diretta verso interessi privati, per compromettere l’operatività di aziende strategiche, perciò è urgente accelerare le difese su ogni elemento della infrastruttura on prem e in cloud, stabilendo delle priorità grazie a Intelligenza Artificiale e automazione.

È diventato sempre più importante per le organizzazioni dotarsi di un’architettura di cybersecurity che operi in profondità, coprendo rete ed endpoint, e che possa lavorare velocemente per rilevare e sventare gli attacchi. Il focus va spostato sulla rilevazione e sulla risposta alle minacce e vanno aggiornati i piani di business continuity e previsti investimenti appropriati per prevenire e minimizzare i fermi di produzione in caso di attacco.

– Come si realizza una vera “protezione proattiva”?

Oggi più che mai è fondamentale investire sulle giuste misure di cybersecurity e tenerle aggiornate. Le soluzioni incentrate sulla protezione del perimetro della rete aziendale sono spesso facilmente superate attraverso i moderni attacchi informatici, soprattutto in un periodo in cui i lavoratori da remoto operano su sistemi domestici. Considerate le attuali strategie messe in atto dai criminali informatici, un moderno sistema di protezione deve concentrarsi sulla fase anteriore al momento in cui si manifesta la minaccia.

È necessario avere piena visibilità sui propri ambienti e integrare funzionalità avanzate di rilevazione e risposta per mitigare le minacce che stanno già aggirando i controlli esistenti. Le organizzazioni dovrebbero implementare una strategia di detection and response, che impieghi combinazioni di Intelligenza Artificiale e Machine Learning per rilevare in tempo ogni tipo di attacco e fermarlo prima che diventi una violazione. Dotarsi di una tecnologia di NDR permette di rilevare e combattere le minacce sin dalla fase iniziale, siano esse conosciute o sconosciute, attraverso l’analisi comportamentale e avanzati modelli di rilevamento basati su Intelligenza Artificiale.

– Cybersecurity Zero-Trust: cosa significa e come si implementa?

Da quando le applicazioni cloud hanno ridefinito il perimetro di sicurezza, con risorse e servizi che spesso bypassano l’on-premise, i modelli di cybersecurity basati sul perimetro aziendale, fondati su firewall di rete e VPN, sono diventati obsoleti. Il modello Zero Trust presuppone l’esistenza di violazioni indagando il comportamento degli utenti, i workflow, i network e i device come se provenissero da una rete non fidata.

Si basa su tre principi guida: la verifica esplicita, che prevede di autenticare e autorizzare sempre basandosi su tutti i data point disponibili, inclusi identità dell’utente, location, salute del dispositivo, servizio o carico di lavoro, classificazione dei dati o anomalie; il privilegio minimo, che richiede di limitare l’accesso dell’utente; il principio di presupposizione di una violazione, che suggerisce di minimizzare il raggio d’azione delle violazioni e prevenire movimenti laterali attraverso segmentazione della rete, crittografia e analytics per ottenere visibilità e rilevare le minacce.

sicurezza

– Carichi di lavoro e archivi dati si sono concentrati sui server aziendali e nel cloud, come è possibile garantire un lavoro fluido e sicuro per tutti?

La pandemia ha spinto le aziende a passare a configurazioni multi-cloud o ibride, non per questioni strategiche ma per necessità impellente. Il passaggio al cloud ha offerto ai criminali informatici dei varchi su cui fare leva per trovare un punto di accesso alla rete e gli attaccanti stanno iniziando a trarne il massimo vantaggio. Il cloud presenta due diverse superfici di attacco: c’è la superficie di attacco tradizionale, in cui gli aggressori passano attraverso la rete per attaccare un workload in esecuzione nel cloud e poi rubano i dati, e c’è poi il piano di gestione di una piattaforma cloud, che rappresenta una serie di controlli più potenti e meno conosciuti.

Prendendo in considerazione questo aspetto, Vectra offre soluzioni per coprire entrambe le superfici di attacco, per proteggere le aziende da attacchi provenienti dalla rete e dal piano di controllo dei loro tenant nel cloud. Il vettore iniziale in entrata può essere incredibilmente complesso e variegato, ma una volta che atterra e stabilisce un punto d’appoggio nell’ambiente, le soluzioni Vectra sono in grado di aiutare l’azienda a rilevare e fermare l’attacco prima che provochi danni effettivi.

– I workload si stanno rapidamente spostando verso “la nuvola”, come è possibile ottenere la visibilità dei dati e il controllo degli accessi? Come abilitare una security efficace?

La cloud security è soggetta a una pressione crescente ed è aumentata la domanda di automazione e servizi di Managed Detection & Response. Negli ultimi due anni il nostro modo di lavorare è cambiato completamente: la superficie di attacco si è ampliata, il tradizionale perimetro di sicurezza è scomparso e la visibilità si è ridotta. Lo spostamento di servizi critici in cloud ha portato con sé un incremento del fattore di rischio e una superficie di analisi molto più ampia e complessa.
L’identità è la vera chiave del cloud: le strategie degli attaccanti stanno evolvendo, da attacchi basati su malware, finalizzati a compromettere la macchina dell’utente, ad attacchi che hanno come obiettivo le credenziali dell’utente stesso, proprio perché mirati a ottenere l’accesso diretto alle applicazioni e alle risorse in cloud. Le compromissioni delle credenziali degli utenti sono veramente difficili da rilevare per i tradizionali strumenti di cybersecurity, perché le azioni effettuate dall’attaccante risulteranno legittime in base ai permessi garantiti dalle credenziali stesse.

I security team vanno dotati di AI e funzionalità di Machine Learning che, attraverso un’unica soluzione, consentano di monitorare, correlare e analizzare ciò che accade nel cloud, nella rete e all’interno dei data center locali, tenendo sotto costante controllo le interazioni tra macchine, utenti e servizi. In questo modo, sarà possibile osservare il comportamento degli account e degli utenti, indipendentemente dal luogo in cui questi si collegano o effettuano l’autenticazione, potendo così rilevare potenziali minacce riconducibili a sofisticate tecniche di attacco.

– Quali strategie e soluzioni proponete ai clienti per mettere in sicurezza le proprie attività?

Secondo Vectra AI, l’integrazione semplice e veloce di una soluzione di Network Detection and Response (NDR) rappresenta un quick-win per le aziende, che vogliono incrementare la capacità di rilevare in near real-time comportamenti malevoli e minacce all’interno del proprio ecosistema digitale. Vectra AI offre un software innovativo ed efficace che rileva e combatte le minacce digitali in una fase iniziale, proteggendo efficacemente le aziende e i privati da attività fraudolente e avvertendo preventivamente gli utenti di accessi sospetti.
L’innovativa Attack Signal Intelligence, appena lanciata, è una tecnologia che automatizza il rilevamento, la selezione delle minacce e la definizione delle priorità per i team SOC.

A differenza degli approcci che sfruttano l’AI per la rilevazione delle anomalie e che richiedono la messa a punto e la manutenzione da parte dell’uomo, Vectra Attack Signal Intelligence monitora in modo continuo e automatico i metodi degli attaccanti con una serie di modelli di Security AI programmati con una comprensione delle TTP (tecniche, tattiche e procedure) degli attaccanti. I risultati passano attraverso un altro livello di AI che combina la comprensione dell’ambiente dell’organizzazione con threat model e human threat intelligence, per far emergere automaticamente le minacce e stabilirne la priorità in base alla gravità e all’impatto. Il risultato è che i team di cybersecurity sono più efficienti dell’85% nell’identificare le minacce reali e ottengono una produttività delle operazioni di sicurezza due volte superiore.