Esistono due tipi di attacchi informatici: tentativi opportunistici automatizzati di penetrare in una rete e attacchi APT (Advanced Persistent Threat) mirati. I primi sono la maggioranza e l'intelligenza artificiale (AI) può bloccarne automaticamente la maggior parte. Ma dietro un APT ci sono spesso delle persone. La difesa da tali attacchi a livello di rete richiede sia l'intelligenza artificiale che esperti di sicurezza.
Gli hacker vengono innanzitutto identificati dalle tracce del loro malware sulla rete. Tuttavia, questi schemi di traffico anomali si perdono facilmente nella massa di informazioni. Lasciato a se stesso, il responsabile IT umano è sopraffatto quando si tratta di riconoscerli.
Riconoscere è una cosa, però
L'intelligenza artificiale fornisce un contributo importante alla difesa, rilevando in tempo reale le anomalie nel traffico dati sulla base dei metadati e poi lanciando l'allarme per innescare reazioni difensive. Secondo gli esperti di Splunk, l'intelligenza artificiale e le difese informatiche automatizzate possono rilevare automaticamente il 90% degli incidenti di sicurezza di livello 1 e avviare la risoluzione.
La domanda rimane: e il restante XNUMX percento? Poiché gli autori di attacchi umani sono spesso dietro attacchi complessi, sia la logica umana che il giudizio umano durante l'analisi delle informazioni sono essenziali per una difesa a prova di futuro.
Valore aggiunto attraverso analisti di sicurezza IT umani
Nessuna difesa informatica può più fare a meno dell'intelligenza artificiale. Ma gli osservatori umani offrono ancora un vantaggio importante:
1. L'intelligenza artificiale e l'intelligenza umana si completano a vicenda
L'intelligenza artificiale ottimizzata con il machine learning (ML) e l'intelligence sulle minacce può analizzare grandi quantità di informazioni in modo rapido e senza errori. L'esperto di sicurezza IT si basa su questo e interpreta i modelli di traffico dati. Allo stesso tempo dirige la difesa con procedure collaudate. Grazie alla sua conoscenza dell'azienda e dell'IT, è anche un importante AI coach. Qui accelera la definizione di trasmissioni di dati normali e quindi legittime, tra l'altro contrassegnando i sistemi critici per la sicurezza IT. Tiene conto anche di informazioni non visibili nel traffico di rete: se, ad esempio, i dispositivi sono disponibili ma non gestiti centralmente, o se un'azienda crea una nuova sede, il che spiega le richieste con indirizzi IP fino a quel momento insoliti punto. O quando implementa nuove tecnologie, applicazioni e quindi sistemi.
2. Valutare le informazioni nel contesto
L'intelligenza artificiale è un approccio statistico. Poiché riconoscere, difendersi e prevenire i pericoli richiede connessioni che vanno oltre i dati individuali, le persone e la loro capacità di giudizio giocano un ruolo importante. La conoscenza concreta dell'azienda aiuta, ad esempio, quando un fornitore di servizi IT incaricato da un'azienda agisce improvvisamente in una sottorete per la quale non ha alcun ordine. Anche se il modello di traffico dati all'inizio sembra insignificante, il superamento delle competenze può indicare un fornitore di servizi IT compromesso e dovrebbe essere controllato.
3. Anticipa le prossime mosse dell'hacker
Le minacce complesse avanzate persistenti (APT) sono ancora create dall'uomo. Dietro gli attacchi di phishing a persone importanti dell'azienda spesso non ci sono spambot, ma professionisti umani di ingegneria sociale che accedono a Internet tramite un allegato di posta elettronica mirato. L'intelligenza artificiale quindi riconosce che un utente malintenzionato sta manomettendo la rete. Le tattiche individuali dell'hacker non si riflettono negli indicatori statistici. Per anticipare i passi successivi dell'attaccante, un esperto analista della sicurezza può mettersi nei panni dell'hacker e anticipare le sue prossime mosse.
4. Valutare la motivazione complessiva del perpetratore
Una difesa informatica deve considerare le motivazioni di un criminale. Non tutti gli aggressori vogliono rubare dati, crittografarli e ricevere un riscatto. Gli hacker hanno motivazioni diverse: il dirottamento di risorse per estrarre bitcoin, forse un sabotaggio motivato politicamente o personalmente, o semplicemente il desiderio di distruggere. Pertanto, una difesa non deve solo proteggere i dati o chiudere le fughe di informazioni. Una risposta sostenuta richiede una comprensione della psicologia umana.
5. Sicurezza pertinente e prioritaria anziché meccanismi di difesa automatici
Un analista della sicurezza IT assegna la priorità ai rischi individualmente per un'azienda. La scelta della difesa dipende dal contesto: si tratta di dati recuperabili che potrebbero non avere più alcun valore per l'azienda o dei tanto citati gioielli della corona? L'intelligenza artificiale non può rispondere alle domande che ne derivano su una difesa adeguata alla situazione data la rilevanza dei dati o dei processi per il successo aziendale.
Inoltre, l'analista ha occhio per i tipici attacchi del settore. Se gli hacker stanno attualmente attaccando l'e-tailer X con malware, non si può escludere che proveranno in seguito i concorrenti Y e Z. Un'intelligenza artificiale che tiene d'occhio solo la propria rete vede un tale rischio solo se è supportata da un'intelligence sulle minacce aggiornata.
6. Guidare le difese ed evitare danni collaterali
Un'intelligenza artificiale ha grandi punti di forza nel riconoscere un pericolo e può avviare automaticamente una difesa. Tuttavia, ogni difesa ha effetti collaterali e può compromettere i processi IT o aziendali. La difesa potrebbe non essere meno complessa e consequenziale dell'APT. Gli analisti della sicurezza sono quindi richiesti qui perché possono considerare e soppesare le conseguenze delle azioni. La competenza umana può evitare danni collaterali ingiustificabili, come il blocco dell'accesso agli edifici controllati dall'IoT o dei sistemi IT nell'assistenza infermieristica.
Quando segue un attacco, un analista della sicurezza ha quindi un importante ruolo consultivo. Utilizzando una registrazione speculare dell'intera rete, può comprendere in modo forense cosa è successo e come prevenire futuri attacchi.
Gli esperti di intelligenza artificiale e sicurezza dipendono l'uno dall'altro
La sicurezza IT senza AI è un ricordo del passato. Tuttavia, l'esperto di sicurezza non diventerà superfluo. Rimane rilevante come interprete continuo di allarmi, come supervisore in situazioni di crisi e come consulente per la sicurezza IT a prova di futuro. Ogni "Detection and Response" è idealmente integrato da un "Managed Detection and Response".
Altro su ForeNova.com
A proposito di ForNova ForeNova è uno specialista della sicurezza informatica con sede negli Stati Uniti che offre alle aziende di medie dimensioni servizi di rilevamento e risposta di rete (NDR) convenienti e completi per mitigare in modo efficiente i danni causati dalle minacce informatiche e ridurre al minimo i rischi aziendali. ForeNova gestisce il data center per i clienti europei a Francoforte a. M. e progetta tutte le soluzioni conformi al GDPR. La sede europea è ad Amsterdam.