Vectra ha annunciato ufficialmente la nuova Vectra AI Platform, una piattaforma unica di cybersecurity che si prepone di sfruttare la tecnologia Attack Signal Intelligence per tenere il passo con la continua evoluzione e l'emergente sofisticazione degli attacchi informatici. Attack Signal Intelligence non è una novità: sintetizzando al massimo è una tecnologia basata su Intelligenza Artificiale che consente di identificare in tempo reale un segnale di minaccia integrato e preciso su endpoint, reti, identità e cloud, con l’obiettivo di accelerare la detection, le indagini e automatizzare la risposta agli incidenti.

Vectra Attack Signal Intelligence era già integrata in tutti i prodotti e servizi Cloud, Identity e Network Detection and Response di Vectra: Vectra CDR per AWS, Vectra CDR per Microsoft 365, Vectra IDR per Microsoft Azure AD, Vectra NDR per reti on-premises e cloud e Vectra MDR per cloud, identity e network threat detection and response. Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI, ha spiegato a Security Open Lab che “la novità è proprio la piattaforma. Finora Attack Signal Intelligence è stata frammentata, e su alcuni contesti come il cloud era parzializzata, con il risultato che permanevano delle divisioni in silos. Ora parliamo di una piattaforma che integra tutto in un’unica interfaccia”.

Massimiliano Galvagna, Country Manager di Vectra Italia

Un XDR aperto e collaborativo

Anche se Vectra reputa limitativo l’appellativo di XDR, è innegabile che la sua Platform sia proprio questo: una soluzione che svolge un lavoro di detection and response allargato a più vettori – in questo caso a endpoint, rete, identità, SaaS e cloud pubblico. A distinguere la soluzione Vectra da quella di molti concorrenti è la mancanza della restrizione alle soluzioni di un unico vendor. A tale proposito Galvagna rimarca che “noi siamo quanto di più aperto possibile. L'idea di Vectra è abilitare una piattaforma XDR integrando il firewall, il SOAR, l’EDR [eccetera] del cliente”.

Quello che il cliente di Vectra AI Platform si troverà di fronte è un’interfaccia in cui sono racchiuse, in un’unica dashboard centralizzata, tutte le informazioni relative a un attacco: la superficie coinvolta, la progressione dell'attacco stesso e via dicendo. Per esempio, argomenta Galvagna, “siamo in grado di vedere l'attaccante che parte dalle credenziali dell'utente, compromette una componente in cloud per poi spostarsi internamente alla rete del cliente, eccetera”.

L’aspetto distintivo è che, per com’è progettata, la piattaforma “permette di non cambiare la user experience del cliente. L’integrazione dei segnali degli EDR, dei SIEM e altro di terze parti permette di assecondare le abitudini dei clienti più evoluti e di sfruttare quello di cui dispone senza gravare sugli analisti con un cambiamento dei processi in essere”. Per il cliente che invece non è abituato a lavorare senza una dashboard unificata ovviamente le abitudini cambieranno, ma in meglio grazie alla semplificazione del lavoro e a una maggiore efficienza operativa. Peraltro, oltre alle soluzioni indicate sopra, la piattaforma di Vectra include firewall, SOAR, Active Directory, Network Access Control, eccetera, e in tutti i casi la comunicazione è bidirezionale.

L’unione fa la forza

I partner tecnologici di Vectra al momento dell’annuncio sono una trentina, aumenteranno in futuro. Vectra fa anche parte del Singularity Marketplace della piattaforma XDR aperta di SentinelOne, con cui scambia e riceve informazioni. L’apertura alle soluzioni terze di cybersecurity è stata abbracciata anche da Sophos mediante il Sophos Adaptive Cybersecurity Ecosystem.

Denominatore comune di queste soluzioni è la lungimiranza nel riconoscere che un solo vendor di cybersecurity possa garantire ai propri clienti la resilienza informatica a 360 gradi di cui necessitano. Il Technical Director di SentinelOne Marco Rottigni aveva rimarcato che ci sono aziende specializzate in threat intelligence, altre nella protezione delle email o delle identità, integrare l’expertise di terze nella propria piattaforma equivale a fornire un migliore servizio al cliente. Oltre che aiutarlo a capitalizzare i suoi investimenti, perché gli consente di sfruttare tutti i servizi in essere pur adottando una nuova piattaforma. David Mareels, Senior Director, Product Management di Sophos, aveva aggiunto che l’integrazione delle tecnologie di terze parti era una richiesta che veniva dal mercato, perché i clienti non si appoggiano a un unico vendor di sicurezza e la frammentazione di soluzioni e dashboard separate ostacola la visibilità sugli attacchi e stressa gli analisti.

Per questi e altri motivi la Vectra AI Platform è il risultato di una precisa richiesta dei clienti. “Clienti – nicchia Galvagna - liberi di fare le proprie scelte adottando le tecnologie che il team di security reputa più adeguate alle proprie necessità, lasciando in carico a Vectra l’onere di integrarsi con tutte le soluzioni di terze parti in modo da organizzare, orchestrare e automatizzare le risposte. Per esempio, Vectra rileva un endpoint compromesso, ‘dice’ all’EDR di isolare la macchina, ‘dice’ al NAC di mettere quella macchina in una VLAN di quarantena e ‘dice’ ad Active directory di disattivare le credenziali utente legate a quell’endopint”.

Vectra crede talmente tanto nell’integrazione che sta lavorando non solo per aumentare i partner tecnologici, ma anche per espandere la tipologia di integrazione. Per esempio, Vectra ha iniziato a importare nella sua dashboard anche gli alert degli endpoint di terze parti per migliorare la capacità di detection e response mediante la propria Intelligenza Artificiale.

Servizi gestiti e responsabilità condivisa

La nuova piattaforma, che spazia trasversalmente fra infrastrutture e vettori d'attacco differenti, ben si presta ad essere uno strumento d’elezione per un servizio gestito di cybersecurity. Per questo Galvagna ha messo enfasi sulla parte MDR: “grazie alla piattaforma, l’MDR di Vectra è in grado, con un unico punto di analisi, di rilevare lo spostamento di un attacco su superfici anche molto diverse fra di loro”. Questo non preclude una collaborazione con i partner italiani e internazionali che erogano servizi gestiti, al contrario: “stiamo sottolineando ancora di più l'importanza di fornire un servizio a supporto, grazie anche alla capacità di Vectra di rilevare gli attacchi in real time. I tempi di un attacco si sono fortemente ridotti e oggi in pochi minuti può avvenire un attacco con un impatto anche notevole; quei pochi minuti sono vitali per riconoscerlo, bloccarlo e organizzare al meglio le contromisure. La piattaforma Vectra, con Attack Signal Intelligence, riesce a fornire questo risultato in maniera estremamente tempestiva e con una forte capacità di analisi. Quella descritta è una componente tecnologica, ma è anche un servizio”.

Servizio che per Vectra è talmente importante da parlare di responsabilità condivisa. “Noi ci facciamo carico dell'infrastruttura Vectra del cliente dando le nostre skill di analisi, di investigazione e di threat hunting, in affiancamento al team di security del cliente e/o del partner di terze parti – precisa Galvagna - Questo approccio è molto apprezzato perché consente al cliente di continuare ad appoggiarsi al referente storico scelto da lui, alle cui spalle operano gli esperti di Vectra. Partner e analisti Vectra condividono la stessa console e si scambiamo informazioni per fornire al cliente un servizio più qualificato. Ma quando qualcosa non funziona rispondono entrambi, da qui la responsabilità condivisa. Una posizione che si basa sulla convinzione da parte di Vectra di essere realmente in grado di rilevare ciò che altri non sono in grado di rilevare”.