Sommario:
Video: Come funzionano le aziende? (Settembre 2024)
In un panorama di minacce digitali in cui le aziende sono costantemente alla ricerca di nuovi vettori di attacco e vulnerabilità, la miglior difesa che hanno è la stessa cosa che li rende un bersaglio così attraente per gli hacker: una montagna di dati. Certo, hai protezione endpoint e software di crittografia. E hai i tuoi dipartimenti IT e di sicurezza che supervisionano l'infrastruttura e le piattaforme di monitoraggio della rete al fine di eseguire la risposta agli incidenti su qualsiasi attività dannosa o intrusioni. Ma, al di là di queste misure reattive, altre imprese e venditori di sicurezza stanno impiegando l'intelligenza artificiale (AI) per adottare un approccio proattivo.
Utilizzando algoritmi di machine learning (ML) e altre tecniche di intelligenza artificiale per identificare modelli di dati, comportamenti vulnerabili degli utenti e tendenze di sicurezza predittive, le aziende stanno estraendo e analizzando la ricchezza di dati a loro disposizione per evitare che si verifichi la prossima violazione.
"Abbiamo raccolte gigantesche di file: petabyte di file che sappiamo non sono dannosi e petabyte che sembrano essere dannosi", ha affermato Rick Howard, Chief Security Officer della società di sicurezza aziendale Palo Alto Networks. "ML sta insegnando ai programmi a trovare la parte dannosa, senza che dobbiamo elencare tutti i fattori che stavano cercando."
Howard faceva parte di un recente panel chiamato "Garantire tecnologie innovative - I prossimi cinque anni", in cui i panelist hanno discusso delle sfide in evoluzione che si presentano al panorama della sicurezza e di come ML e automazione stanno cambiando il modo in cui identifichiamo e rispondiamo alle minacce. Il panel faceva parte di un recente vertice sulla sicurezza informatica tenutosi presso il Nasdaq MarketSite a Times Square a New York City in onore del National Cyber Security Awareness Month (NCSAM). È stato ospitato da Nasdaq e National Cyber Security Alliance (NCSA). Gli sponsor degli eventi Cisco, Dell, Palo Alto Networks e ServiceNow, Tenable, società di sicurezza informatica e Wells Fargo, hanno fornito panel per il summit.
Automatizzare le tue difese
L'intelligenza artificiale è sempre presente nei software moderni. Assistenti virtuali, chatbot e raccomandazioni basate su algoritmi pervadono le applicazioni dei consumatori e le esperienze online. Nel frattempo, le aziende stanno applicando ML e altre tecniche di intelligenza artificiale a ogni bit di dati che raccolgono, dalla gestione delle relazioni con i clienti (CRM) e dai dati di vendita a ogni clic e preferenza che comprende il comportamento degli utenti.
I dati di sicurezza sono esattamente come qualsiasi altro set di dati che inserisci nei modelli ML. Maggiore è il numero di dati che fornisci e migliore è l'addestramento, maggiore sarà la precisione dell'intelligenza artificiale a non semplicemente identificare i modelli, ma estrarre le informazioni giuste per darti un vantaggio predittivo. L'adozione corretta delle tecniche di intelligenza artificiale richiede una visione chiara dei problemi che si intende risolvere. Quando si tratta di risposta agli incidenti, è importante sapere cos'è ML e cosa non lo è, secondo Renaud Deraison, co-fondatore e CTO di Tenable.
"L'apprendimento automatico significa allenarsi un milione di volte con un milione di variazioni, quindi la prossima volta che un computer incontra una situazione, sa cosa fare", ha detto Deraison. "Questo non lo rende in grado di inventare qualcosa. Non siamo nella fase in cui possiamo dire 'ok computer, proteggimi.'"
L'obiettivo è che il software di sicurezza informatica infusa dall'IA automatizzi completamente la previsione, il rilevamento e la risposta. Ron Zalkind, CTO di Cisco Cloudlock, ha discusso di come la piattaforma di sicurezza del cloud Umbrella di Cisco risolve i problemi DNS applicando ML al suo enorme database di attività consumer e aziendali per identificare quando un cattivo attore sta tentando di inondare un DNS con un rifiuto del servizio distribuito (DDoS) attacco. Utilizzando un esempio come la storica botnet MirDo DDoS che ha colpito il provider DNS Dyn lo scorso anno, Zalkind ha affermato che l'idea è quella di risolvere quella query DNS come destinazione errata e automatizzare il blocco per tagliare il traffico dal dominio dannoso.
Da sinistra: il direttore esecutivo dell'NCSA Michael Kaiser, il CTO di ServiceNow Security Brendan O'Connor, il CSO di Palo Alto Rick Howard, il David Konetski di Dell, il CTO di Cisco Cloudlock Ron Zalkin e il CTO di Renaud Deraison.
La triste verità è che hacker e avversari stanno vincendo. Brendan O'Connor, CTO Security presso ServiceNow, ha affermato di aver visto un'enorme innovazione nella prevenzione e nel rilevamento, ma che l'industria della sicurezza è rimasta indietro quando si tratta di risposta automatizzata. L'intelligenza artificiale sta aiutando i venditori a risolvere il problema.
"Quando osserviamo come rispondiamo oggi, fondamentalmente non è cambiato negli ultimi 10 anni", ha dichiarato O'Connor. "Le violazioni più dannose che si verificano non sono ninja che cadono dal soffitto come Mission Impossible. Non stiamo forzando gli aggressori a migliorare o ad adattarsi. Se un fornitore non è stato in grado di rattoppare per 30 o 60 o 90 giorni, non ha credenziali e password ruotate. Un utente malintenzionato può semplicemente scaricare uno strumento da Internet e sfruttare una vecchia vulnerabilità ".
O'Connor e Howard concordarono sul fatto che spesso gli aggressori utilizzano semplicemente una classe più avanzata di tecnologia. Le moderne botnet malware sono estremamente resistenti e difficili da eliminare un computer o un nodo alla volta. Gli aggressori hanno abbracciato il cloud e lo stanno utilizzando come piattaforma per attaccare le aziende. "I cyber-avversari hanno automatizzato i loro processi e abbiamo ancora a che fare con quello come umani in una stanza sul retro", ha detto Howard.
ML combatte l'automazione con l'automazione. Gli algoritmi analizzano vasti set di dati per esaminare la prevalenza di un difetto, la sua facilità di implementazione e una serie di altri fattori. Questa analisi aiuta le aziende a stabilire le priorità su quale delle molte patch che devono implementare dovrebbero essere focalizzate per prime.
Il futuro della sicurezza predittiva
L'automazione e l'analisi predittiva nella sicurezza informatica sono in circolazione da molto tempo. Ma i progressi dell'IA negli ultimi anni hanno cambiato il modo in cui funziona nell'intero stack tecnologico di un'azienda. Dopo il panel, PCMag ha incontrato David Konetski di Dell. È Fellow e Vice President di Client Solutions presso l'ufficio del CTO. Dell ha svolto ricerche AI e ML per anni, per cose come l'analisi predittiva dei guasti, l'orchestrazione dei sistemi e la gestione dei dispositivi. Konetski ha spiegato come si sono evoluti gli sforzi di Dell per l'IA e alcuni dei lavori innovativi che la società sta svolgendo nell'ambito della sicurezza predittiva. Il lavoro prevede l'analisi del malware, l'analisi del comportamento degli utenti e il rilevamento delle anomalie.
"Siamo stati tra i primi a fare analisi predittive degli errori", ha affermato Konetski. "Ci siamo resi conto che c'è molta strumentazione nelle scatole e i sistemi di gestione ricevono una quantità enorme di dati su ciò che sta accadendo nella rete. Non dovresti essere in grado di dire quando la batteria o il disco rigido potrebbero non funzionare?"
L'analisi predittiva dei guasti è iniziata con i clienti aziendali prima di essere implementata nel servizio clienti di Dell, con un'automazione aggiuntiva come i trigger di posta elettronica che indica a un cliente di ordinare una nuova batteria mentre è ancora coperta dalla garanzia. Nel mondo della sicurezza, quel predittivo ML è ora applicato alla protezione avanzata dalle minacce (ATP). Nel 2015, Dell ha collaborato con la società di protezione dalle minacce basata sull'intelligenza artificiale Cylance per andare oltre la semplice etichettatura di un file come dannoso. Invece, guardano il DNA di un file per determinare il suo intento prima che venga mai eseguito.
"Abbiamo sfruttato le nostre capacità di protezione dei dati e abbiamo avanzato quell'ambiente per ora proteggere i dati nel punto di origine, man mano che si spostano, e mettere un po 'di controllo di accesso attorno a loro in modo che ora sappiate, come persona IT, dove tutti i vostri dati viene utilizzato nel mondo, da chi e come. Non è mai stato possibile prima ", ha dichiarato Konetski.
"Come si fa? Si osserva il comportamento del software", ha continuato Konetski. "Il software sta facendo le cose in un modo strano o dannoso? Quella era la prima generazione di analisi del comportamento. E ora la generazione successiva inizia a guardare non solo quello, ma il tuo comportamento personale o il comportamento della macchina, a seconda che si tratti di IoT o di personal computer L'intelligenza artificiale sta cercando comportamenti anomali che potrebbero andare bene, ma come CTO, se accedo a tutti i dati dei nostri clienti, potrei essere segnalato con un avviso del tipo: "Ti rendi conto di ciò che stai facendo, sì o no ?' In questo modo, l'utente viene addestrato e sa che il sistema sta guardando."
Il passaggio successivo prevede l'utilizzo dell'IA con l'analisi del comportamento degli utenti per arginare i rischi di sicurezza informatica più proattivi all'interno di un'organizzazione. L'errore umano è spesso la fonte di violazioni e vulnerabilità, che si tratti di una password predefinita, un tentativo riuscito di spear-phishing o, nel caso della recente interruzione di Amazon S3, un errore di battitura.
Per un'azienda come Dell che deve affrontare le vulnerabilità dell'intero stack hardware e software, concentrarsi sull'utente e sfruttare l'intelligenza artificiale per arginare potenziali minacce alla loro fonte è un modo più efficiente per far funzionare tali dati. Non si tratta solo di ciò che gli algoritmi ML rilevano esternamente e delle capacità predittive di mitigazione delle minacce fornite dall'IA. L'altro lato di ciò sta trasformando quei dati in promemoria interni naturali per i dipendenti all'interno dell'organizzazione.
"Che sia un consumatore o un'impresa, se posso darti un piccolo avviso e dire 'Sei sicuro di voler fare quel clic successivo? Abbiamo rilevato un modello che è stato identificato come potenzialmente dannoso.' Questa è l'analisi del comportamento degli utenti unita alla conoscenza dei modelli di attacco ", ha spiegato Konetski.
Dell sta inoltre lavorando per utilizzare il contesto dell'utente e della macchina per prendere decisioni intelligenti su ciò a cui si ha accesso. Una soluzione aziendale gestita lanciata quest'anno chiamata Dell Data Guardian ha quelle che Konetski ha definito capacità di controllo degli accessi "iniziali" che si evolveranno in un modo più approfondito per proteggere l'infrastruttura di rete. Immagina che AI sappia chi sei, su quale dispositivo sei, dove ti trovi nel mondo e classifichi quei dati con ML per prendere decisioni intelligenti sul controllo degli accessi.
"Quindi oggi, se ti trovi in un paese dell'Europa orientale, cercando di accedere ai dati ad Austin, in Texas, c'è qualcosa di divertente in corso. Semplici cose come quella che possiamo fare oggi", ha dichiarato Konetski. "Andando avanti, forse voglio solo darti l'accesso in sola lettura. Forse voglio darti accesso remoto quindi sto ospitando un'applicazione nel mio data center e ti darò solo una vista attraverso un browser HTML5 Forse vedo che sei sul tuo dispositivo aziendale dietro il firewall e tutto è patchato, quindi ti do una chiave.
"La parte importante, e ciò che AI e ML ci consentono di fare, è di fare tutto questo in modo trasparente per l'utente finale. Quindi, quando stai cercando l'accesso a quel file, non ti rendi conto che abbiamo tutti questi controlli in background; tutto sembra perfetto per te."
