Perché l'automazione, l'intelligenza artificiale e l'apprendimento automatico stanno diventando sempre più importanti per le operazioni SOC. Rispetto agli esseri umani, gli algoritmi sono semplicemente molto più veloci nel definire uno stato normale dei processi IT o nell'identificare modelli comportamentali.
I fornitori di tecnologia lavorano costantemente per migliorare la sicurezza IT nelle aziende. Ma sebbene i Security Operation Center (SOC) stiano migliorando nel respingere le minacce, c'è ancora molto da fare. AI, machine learning (ML) e automazione supportano efficacemente gli esperti senza renderli superflui.
Intelligenza artificiale e machine learning (ML) nel SOC
Una base importante per migliorare il lavoro nel SOC è stata la consapevolezza che una difesa basata esclusivamente sulla tecnologia non è sufficiente. Nel gioco del gatto e del topo tra difesa informatica e attacco, gli aggressori sono spesso un passo avanti cruciale. L'uso di nuove tecnologie come l'automazione, l'intelligenza artificiale e l'apprendimento automatico (ML) gioca quindi un ruolo importante nel dare sollievo alle persone. Rispetto agli esseri umani, gli algoritmi sono semplicemente molto più veloci nel definire uno stato normale dei processi IT - la cosiddetta linea di base -, identificare modelli comportamentali e riconoscere deviazioni dai processi normali.
Ma non funziona senza il pensiero umano. Una difesa informatica efficiente ha bisogno di entrambi: tecnologie di automazione mirate ed efficaci, nonché AI e machine learning (ML) da un lato, che completano le conoscenze specialistiche e le competenze di un difensore umano dall'altro. Entrambi possono far parte di un Security Operations Center (SOC) interno o di un servizio in outsourcing come Managed Detection and Response (MDR).
La necessità del giudizio umano è e rimane indiscussa
È un'idea sbagliata comune che più tecnologia significhi meno bisogno di persone. L'automazione, l'intelligenza artificiale e l'apprendimento automatico probabilmente non sostituiranno mai completamente la necessità del processo decisionale umano nella sicurezza IT. L'analista umano rimane insostituibile finché affronta un aggressore in carne e ossa.
Questo perché la mente dell'hacker è troppo intelligente e può usare il pensiero astratto per aggirare le difese e infiltrarsi in una rete bersaglio in un modo che gli strumenti tecnologici semplicemente non vedono. Quindi, ad esempio, anche la soluzione EDR (Endpoint Detection and Response) più avanzata ha poche possibilità contro un dipendente che viene indotto con l'inganno a fornire una password amministrativa utilizzando il social engineering.
La tecnologia e le persone devono lavorare insieme
Gli analisti della sicurezza umana che pensano e agiscono come l'aggressore offrono le migliori possibilità di contrastare il comportamento individuale, mai completamente prevedibile, di un criminale informatico. AI, ML e automazione supportano gli esperti con informazioni per migliorare e accelerare valutazioni e decisioni fondate per difendersi da attacchi complessi. Un arricchimento automatizzato che fornisca all'analista tutte le informazioni rilevanti deve attingere a varie basi di conoscenza e risorse di ricerca in modo che gli analisti possano comprendere il campo di battaglia in cui operano e prendere decisioni informate. Sulla base di ciò, gli analisti che comprendono ciò che l'attaccante sta cercando di ottenere possono quindi avviare misure di risposta appropriate.
Dove automazione, intelligenza artificiale e machine learning hanno già successo
Le iniziative di automazione, ML e AI hanno già successo in varie aree della sicurezza IT. Laddove gli aggressori automatizzano i loro attacchi, ad esempio, la difesa automatizzata è sufficiente in cambio. AI e ML aiutano anche contro gli attacchi con credential stuffing. In questo caso, l'intelligence sulle minacce funge da guida per sviluppare strumenti in grado di rilevare attori malintenzionati. Gli analisti della sicurezza ricevono quindi indicazioni su come definire al meglio gli indicatori di compromissione (IOC).
L'automazione e il machine learning possono anche prevedere l'evoluzione del malware. Ciò consente di creare una firma univoca contro il nuovo malware, che aiuta quindi a rilevare ulteriori attacchi. Un'altra importante area di applicazione è la raccolta e l'elaborazione di grandi quantità di dati sulla sicurezza. Questi dati sono necessari per scoprire e verificare l'attività anomala come un rischio, e quindi per trovare il proverbiale ago in una pila di aghi.
Quindi il SOC del futuro utilizzerà AI, ML e automazione
Informazioni su un SOC di Bitdefender (Immagine: Bitdefender).
In generale, AI, ML e automazione miglioreranno l'efficienza dei SOC e forniranno agli analisti un contesto più in tempo reale. Inoltre, l'IA può imitare gli aggressori. Esamina ambienti di grandi dimensioni e li confronta con vulnerabilità note per prevedere in che modo un attore malintenzionato sfrutterebbe tali superfici di attacco. Tali informazioni sono estremamente preziose per gli analisti per prevenire in modo proattivo gli attacchi.
Gli aiutanti intelligenti giocheranno un ruolo importante quando si tratta di scalare. Attualmente, gli analisti possono raccogliere manualmente solo una quantità limitata di dati. Tuttavia, più informazioni sono disponibili, più modelli, relazioni e intuizioni si potrebbero ricavare. Tuttavia, i modelli di licenza di molti strumenti hanno finora fortemente limitato il volume di dati utilizzato. In futuro, questa limitazione difficilmente esisterà e grandi set di dati possono essere esaminati in modo più strategico ed è possibile eseguire analisi predittive.
Conclusione: gli aiutanti intelligenti sono venuti per restare
La sicurezza informatica rimarrà un moderno gioco del gatto col topo. AI, ML e automazione stanno già guadagnando terreno nelle operazioni SOC e stanno aiutando gli analisti a migliorare la sicurezza IT in azienda. Gli aiutanti intelligenti offrono già molti vantaggi, soprattutto quando si tratta di identificare potenziali rischi in modo rapido e preciso. In futuro, gli algoritmi saranno utilizzati per numerose altre applicazioni nella sicurezza IT, aumentando così la sicurezza. Si consiglia alle aziende di utilizzare già tecnologie consolidate basate su automazione, AI e ML nel loro SOC e di tenere d'occhio le nuove tecnologie. Indipendentemente da ciò, gli esseri umani rimangono indispensabili. Ma per il successo ha bisogno di tecnologie moderne.
Altro su Bitdefender.com
Informazioni su Bitdefender Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e nel software antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell'azienda hanno regolarmente fornito eccellenti prodotti di sicurezza e protezione intelligente per dispositivi, reti e servizi cloud per clienti privati e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza implementate nel mondo ed è affidabile e riconosciuta da professionisti del settore, produttori e clienti. www.bitdefender.de