Risponde Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI
Oggi la rete aziendale è in continua espansione e si connette con tantissimi dispositivi: IoT, applicazioni e infrastrutture in cloud, reti industriali, partner e fornitori che si connettono dall’esterno. Questo costante cambiamento e la crescita delle reti stesse sono necessari per fornire nuovi servizi e prodotti e mantenere la produttività aziendale. Molte aziende sperimentano l’IoT per avere la possibilità di rendere più accessibili le analisi dei dati, prendere decisioni più informate, esplorare nuove opportunità di business e creare anche un luogo di lavoro più sicuro e produttivo, monitorando e ottimizzando processi e comportamenti.
L’IoT, però, rappresenta al contempo una nuova fonte di rischio. Il controllo di tale rischio e dell’esposizione alle minacce informatiche dei dispositivi IoT con sistemi operativi incorporati pone delle nuove sfide: la sicurezza e il patching tradizionale degli endpoint sono spesso impossibili attraverso le normali procedure operative, perciò i dispositivi IoT offrono un’ampia superficie di attacco. Gli strumenti di sicurezza tradizionali tipicamente in uso all’interno delle aziende si concentrano su signature, su qualcosa cioè di noto e conosciuto, e spesso si limitano a fare l’analisi del perimetro della rete aziendale, fornendo una visione molto limitata nel caso in cui l’attaccante riesca a infiltrarsi con successo nell’ambiente. In ultimo, i Security Analyst rimangono spesso senza informazioni e senza capacità di analisi su dispositivi IoT compromessi.
Partecipa agli ItalianSecurityAwards 2024 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative
La buona notizia è che è possibile gestire anche questo tipo di sfide. Gartner la chiama “SOC visibility triad”, una triade di elementi che possono essere in parte già presenti nelle infrastrutture di sicurezza aziendali e che interagiscono tra loro. La prima componente è rappresentata dagli endpoint, che si concentrano sull’analisi e sulla risposta in ambito locale; il secondo elemento è il SIEM, che raccoglie eventi da sorgenti di terze parti; infine, la terza componente è rappresentata proprio dalla tecnologia di cui si occupa Vectra, la Network Detection and Response, una soluzione in grado di raccogliere il traffico di rete e portarlo in analisi.
Queste tre componenti offrono una combinazione estremamente efficace, in grado di coprire tutti i vettori di minacce, di atterrare su workload in cloud, di raccogliere tutto il traffico di network aziendali e anche di dispositivi utenti e Iot. Questa combinazione consente l’analisi delle minacce indipendentemente da firme o liste di reputazione: la detection si concentra sui comportamenti degli attaccanti e utilizza modelli di Intelligenza Artificiale capaci di rilevare un comportamento malevolo proveniente dall’interno della rete, sia che l’attaccante sia un dipendente interno sia che si tratti di un attore esterno che è riuscito a compromettere dei device aziendali.
Il rilevamento e la risposta di rete guidati dall’Intelligenza Artificiale di Vectra rappresentano, quindi, un elemento chiave della SOC visibility triad. I Security Analyst oggi utilizzano Vectra per attività di hunting estremamente utile, perché in grado di rivelare segnali deboli di attacco ed effettuare investigazioni sia su incidenti passati sia su incidenti in corso, in modo da dare risposte immediate al board sulle tempistiche di eliminazione dell’attacco e sulla ripresa sicura delle attività.
La nostra piattaforma è basata interamente su Intelligenza Artificiale ed è in grado di rilevare minacce attive in near real time, con un delay davvero minimo rispetto all’attacco in corso. Riesce a coprire tutta l’infrastruttura di un’impresa, dai workload in cloud al data center, dai dispositivi utenti ai dispositivi IoT, fino agli sistemi legati alla supply chain. Vectra analizza il traffico dal cloud della rete, arricchisce metadati con informazioni sulla sicurezza e stabilisce le priorità sulle minacce in corso in modo da assegnare un livello di rischio in tempo quasi vicino al reale.