Vectra Match, la protezione per il lavoro ibrido e il multicloud

Un punto cruciale per ogni professionista in ambito sicurezza è l’automazione: consente maggiore produttività, libera risorse e permette di velocizzare la risposta.

multicloud

Alessio Mercuri, Security Engineer Italia di Vectra AI, ci spiega come l’azienda opera nel settore sicurezza, lavoro ibrido e multicloud, e presenta Vectra Match.

Forte di una dozzina di anni di esperienza, Vectra AI è un’azienda che propone soluzioni di sicurezza per identificare minacce e attaccanti all’interno del perimetro di rete attraverso l’Intelligenza Artificiale. Vectra è concentrata su un unico scopo: rilevare gli attaccanti nel minor tempo possibile, consentendo all’azienda di bloccarlo prima che questo abbia un impatto sul business.

– Signature e Ai-driven: possiamo dire che tradizione e innovazione si incontrano per fornire una migliore difesa?

Quello che vediamo è che la velocità degli attacchi si è ridotta, passando da giornate a ore e adesso a pochi minuti. Le tecnologie per la protezione devono andare di pari passo. Tradizione e innovazione si devono incontrare per fornire un’efficace linea di difesa. Le tecnologie di IDS, e la loro convergenza che si chiamano IDPS, sono state per lungo tempo considerate vitali per scoprire e prevenire le attività malevole. Tuttavia, l’esposizione di dati e i ransomware continuano senza tregua. Secondo i dati che abbiamo ricavato da una nostra indagine a un elevato numero di leader in ambito sicurezza, il 72% ritiene di essere stato attaccato nell’ultimo anno, ma non ne ha la certezza.

Questo dato evidenzia come ci sia la necessità di migliorare le capacità di rilevamento e di risposta alle minacce. Con gli strumenti sempre più avanzati di cui dispongono, i cybercriminali possono non solo attaccare ma addirittura devastare l’operatività di un’azienda nel momento in cui entrano nel perimetro. Allo stesso tempo, mettere in campo più soluzioni, più tool e allarmi da monitorare sul versante difensivo può aumentare significativamente il lavoro dei team di sicurezza e creare burnout. Oggi le aziende hanno bisogno di una soluzione che riesca a combinare da una parte una piena copertura dei domini attraverso i quali gli attaccanti si muovono, sia on prem sia in cloud: questi domini vanno protetti con capacità di rilevamento basate su intelligenza artificiale e contesto proveniente dalle firme. Dall’altra parte, c’è bisogno che la soluzione riesca a fornire un segnale accurato, contestualizzato e priorizzato per ridurre il lavoro degli analisti occupati con falsi positivi o segnali di poco conto. Bisogna offrirgli la possibilità di individuare immediatamente ciò che è realmente critico all’interno dell’ambiente.

Si deve infine ottenere un controllo intelligente ottimizzando i workflow operativi di sicurezza e, di conseguenza, gli investimenti. L’aggiunta di Vectra Match è stata pensata per combinare le capacità di Vectra nell’individuare attacchi noti o non noti attraverso l’intelligenza artificiale con la possibilità di rilevare anche attacchi noti via firme, compresi exploit e malware. Inoltre, offre anche la possibilità di ottimizzare gli investimenti perché si può utilizzare un singolo sensore per entrambe le funzionalità, che magari possono essere necessarie per compliance verso standard o normative.

– Vectra AI difende la rete e la superficie di attacco. Si integra con i sistemi di difesa delle applicazioni e dei dati?

Un punto cruciale per ogni professionista che opera in ambito sicurezza è l’automazione: consente una maggiore produttività, libera risorse da task ripetitivi e permette di velocizzare la risposta a determinate tipologie di attacco. Non è però né prudente né pratico automatizzare ogni aspetto della fase di risposta all’incidente, perché il fattore umano rimane comunque determinante. Ed è con questa filosofia che è stata concepita la piattaforma Vectra, ovvero cercare sin dall’inizio di fornire una flessibilità estrema nell’integrazione con l’ecosistema grazie a numerose integrazioni native e alle nostre API, che sono sempre aggiornate e che consentono un’automazione sia nei workload operativi, come per esempio la creazione di un ticket, sia nei processi più strettamente legati a un incidente, come per esempio sfruttare l’integrazione con uno strumento di difesa per isolare una minaccia prima che causi danni.

cybersecurity Security Operation Center digital operations Zero Trust

Lavoro ibrido e multicloud

– Ritornando alla sensazione ma non alla certezza di essere stati attaccati, per evitare di avere questi dubbi voi cosa proponete?

Il fatto che le imprese non riescano a capire se hanno ricevuto o meno un attacco all’interno del loro ambiente è Il problema che più spesso riscontriamo nei clienti. Questa incertezza, che viene poi sfruttata dagli attaccanti, è fondamentalmente creata da una spirale senza fine nella quale il cliente si viene a trovare. Nel corso degli anni, abbiamo avuto sempre più lavoratori mobili, più servizi in cloud, più compromissioni degli account: la superficie d’attacco si è ampliata e i clienti spesso non riescono a tenerla tutta sotto controllo in maniera olistica e unificata. Chi si occupa di sicurezza non riesce a percepire se un attacco è partito dalla compromissione di una credenziale di Microsoft 365 e se l’attaccante poi si è mosso all’interno della rete per fare altre attività.

Non riesce a capire dove può essere avvenuta la compromissione. C’è bisogno di tenere sotto controllo questa ampia superficie ibrida di attacco in maniera olistica, con una tecnologia che sappia farlo bene sia on-prem sia in cloud. Dall’altra parte, i security leader non riescono stare al passo con le minacce più recenti, il numero e l’evasività delle tecniche che utilizzano i cybercriminali. Questi puntano sempre di più su attacchi basati sull’identità e hanno a disposizione pacchetti di tool, sviluppati da gruppi come Dark Side, che consentono di automatizzare attacchi in maniera molto veloce senza sapere nemmeno cosa si sta usando. Con la conseguenza che i team di sicurezza finiscono per rincorrere continuamente IOC, vulnerabilità, firme specifiche e tool sviluppati dagli attaccanti che cambiano rapidamente, mentre ciò che si evolve più lentamente sono i metodi. Ecco perché sarebbe forse più utile valutare un cambio di approccio.

Si potrebbe pensare che la risposta al problema stia nell’avere più dati e più strumenti per identificare problemi specifici. In realtà, questo approccio riduce l’accuratezza nel lavoro dell’analista, che si trova a dover gestire più workload e più alert e finisce quindi con l’essere più esposto al rischio burnout. Alla fine, l’azienda non riesce a capire da dove iniziare a investigare e se lo sta facendo in tempo utile per bloccare l’attacco. Quindi, l’incertezza dei clienti nel rispondere a quel tipo di domanda è dovuta sia a una più ampia superficie d’attacco e a tool dispersi, che non parlano tra loro e che non riescono a far percepire agli analisti come e cosa investigare all’interno dell’ambiente, sia alla rapidità ed evasività con la quale gli attaccanti si muovono per raggiungere il proprio obiettivo.

– Dando un’occhiata al futuro prossimo, quali evoluzioni prevedete?

Le variabili in campo sono veramente tante, tra pacchetti chiavi in mano, strumenti malware, credenziali messe a disposizione da gruppi di cybercriminali. Tuttavia, in tutta questa frenesia di eventi che si succedono, l’unica cosa certa è che gli attacchi saranno sempre più veloci e diventeranno sempre più evasivi, perché saranno automatizzati e perché saranno in grado di cambiare comportamento in base all’ambiente dove si trovano.

Ultimamente stiamo assistendo ad attacchi che si evolvono in pochi minuti. Dobbiamo considerare tecnologie che prendano in considerazione questo scenario, che viaggino nella stessa velocità in modo tale da rilevare e bloccare quell’attacco. Ed è questo il focus di Vectra AI, ovvero rilevare un attacco nel minor tempo possibile per consentire all’analista di bloccarlo prima che raggiunga l’obiettivo.
I clienti che hanno subito un attacco hanno potuto verificare le capacità di Vectra AI di rispondere a queste tipologie di eventi in near Real Time, nel giro di pochi minuti dal primo segnale.

– Le aziende oggi tendono ancora ad agire dopo che hanno subito un attacco oppure si preparano a prevenire l’attacco?

Di anno in anno la consapevolezza cambia, quindi anche aziende di medio-piccole dimensioni percepiscono la necessità di fare investimenti in prevenzione, ma si rendono conto che non tutto si può prevenire. Quindi, si stanno gradualmente dotando di tecnologie e servizi che riescano a individuare quando l’attaccante riesce a penetrare uno dei loro domini nel quale sono contenuti i dati, le applicazioni o le informazioni sensibili e che permettano di bloccarlo prima dell’impatto.

Cybersecurity

Proteggere le imprese, il lavoro ibrido e il multicloud.

– In questo momento, le aziende gestiscono la sicurezza internamente o cercano un aiuto all’esterno?

Dipende dalle dimensioni dell’azienda. Tuttavia, c’è da tener conto che la sofisticatezza degli attacchi da una parte e la cronica mancanza sul mercato di risorse preparate in ambito sicurezza dall’altra parte fanno sì che le piccole e medie imprese cerchino di sfruttare le capacità operative di aziende specializzate in ambito sicurezza, che si prendano cura di servizi di managed detection and response con un unione di strumenti che in genere è composta da una triade: un SIEM che analizza i log, dove possibile un SOAR per l’orchestrazione della risposta agli incidenti, da un EDR che si occupa dell’endpoint e da un sistema NDR che analizza ciò che accade alla rete. Con questo insieme normalmente si riesce a soddisfare la maggior parte delle esigenze dei clienti e a tenere sotto controllo sia il perimetro interno sia quello esterno.

– La vostra soluzione Vectra Match riesce a soddisfare queste tre esigenze?

Vectra Match è una soluzione che si focalizza sulla rete e copre diversi domini, dal network agli ambienti SaaS, dal cloud all’identità, offrendo la possibilità di aggiungere alle già note capacità rilevamento di Vectra AI garantite dall’Intelligenza Artificiale, anche il rilevamento di attacchi noti attraverso firme, exploit e malware. Consente, inoltre, di ottimizzare gli investimenti in sicurezza per quelle realtà che, per esigenze normative e/o di compliance, hanno necessità di mantenere un IDS.

Per offrire una protezione completa, Vectra AI nasce come piattaforma aperta che, attraverso delle API sempre aggiornate, può essere integrata con molteplici altre soluzioni. Infatti, ci sono numerose integrazioni native con strumenti EDR, Firewall, NAC e altri per arricchire la console di Vectra AI ed effettuare attività di response. Si può, ad esempio, comandare un EDR per isolare un endpoint che viene reputato compromesso, si può disabilitare un account attraverso Active Directory, isolare un IP attraverso il firewall o inserire Vectra nei playbook di un SOAR. Vectra AI è uno strumento che vuole portare un punto di vista di analisi unico, ma allo stesso tempo innestarsi all’interno dell’ecosistema e permettere al cliente di costruirsi il proprio XDR.