X – Detection and Response di Trend Micro utilizza l’intelligenza artificiale per correlare i dati di endpoint, server, cloud e reti per abilitare visibilità e analisi dei rischi
E’ tutta questione di velocità. Nella continua lotta tra attaccanti e difensori e in un periodo di profonda trasformazione dell’T in progressiva migrazione verso il cloud, vince chi è più veloce. No, non si sta parlando di un verde campo di calcio, ma di un campo molto più critico, quello della sicurezza delle applicazioni e dei dati di business, e del problema di garantirne la protezione. E parlando di velocità viene spontaneo pensare ai circuiti automobilistici di Formula 1.
Oggi la security deve essere come un team di Formula 1, dove la condivisione e la raccolta complessiva di informazioni permette di mettere in pista una vettura performante. Questo grazie al fatto che ogni singolo pezzo è perfettamente integrato e progettato per fornire un miglior risultato complessivo.
“Il tutto è maggiore della somma delle singole parti”, si potrebbe osservare contravvenendo a una stretta logica progettuale, e questo si può spiegare facilmente utilizzando un parallelismo con il mondo dei motori, osserva, Gastone Nencini, Country Manager Trend Micro Italia
Di certo il parallelismo ha una sua valenza. Quando un’automobile ha un problema o un guasto si può portarla dal carrozziere, dal meccanico o dall’elettrauto. Se per caso si rompe un finestrino o si buca una gomma ci sono altre figure professionali ancora che possono risolvere il problema.
E’ un approccio che prevede una specifica soluzione per il singolo problema. Ma non sempre è vincente, poiché non indaga a fondo il motivo di quanto accaduto, non ricerca la causa alla radice e non aiuta a prevenire altre criticità.
Ad esempio, un fanale potrebbe essersi danneggiato a causa di sollecitazioni o vibrazioni troppo forti del veicolo e il problema potrebbe essere non nella lampadina, ma negli ammortizzatori. Se si cambia solo il fanale e non gli ammortizzatori, il problema è destinato a ripresentarsi.
Nella Formula 1 il modo di procedere è diverso e basato sul concetto di cooperazione a livello di team, con le singole parti che collaborano per ottenere un risultato superiore. Quando il veicolo ha un problema, ma anche durante controlli di routine, una squadra di esperti lavora all’unisono dialogando. In prima battuta interviene la figura incaricata di analizzare la telemetria, che verifica tutti i parametri del veicolo. Successivamente questi dati vengono analizzati dagli esperti dei singoli ambiti che lavorano insieme per mettere l’auto nelle condizioni perfette.
Si tratta in sostanza di un approccio orchestrato, volto ad abilitare a una strategia vincente. Le stesse differenze, mette in guardia Nencini, si possono ritrovare nelle aziende parlando di security, dove andrebbe adottata la stessa modalità di pensiero e strategia, ovvero passare da un approccio a compartimenti stagni fatto da singole soluzioni a una metodologia di azione orchestrata.
Il vulnus sta nel fatto che se oggi le infrastrutture IT sono molto evolute e complesse, purtuttavia sono costituite in prevalenza da silos e questo è un rischio per l’intera organizzazione, perché la complessità aumenta le possibilità di subire un attacco e non risolverlo.
È anche possibile, se non del tutto probabile, che le varie parti dell’infrastruttura siano state create nel corso del tempo e in momenti diversi e ogni ambiente abbia una propria soluzione di security.
Il fattore critico è che molto spesso le soluzioni dei diversi ambienti non comunicano tra di loro e per i team di security raccogliere e analizzare i dati in silos è complicato e non permette alla struttura di reagire con la giusta reattività a eventuali attacchi.
“In Trend Micro crediamo fermamente a una modalità di procedere corale, in grado di avere visibilità sull’intera infrastruttura e risolvere e prevenire le criticità attraverso la collaborazione e l’identificazione delle cause alla radice, come in un team di Formula 1. Per questo abbiamo creato una soluzione che abbiamo chiamato XDR (X – Detection and Response), che potrebbe essere accostata alla telemetria del mondo dei motori. XDR utilizza infatti una sofisticata intelligenza artificiale per raccogliere e correlare i dati di email, endpoint, server, carichi di lavoro cloud e reti, offrendo visibilità e analisi altrimenti difficoltose o addirittura impossibili”, ha commentato Nencini.
L’approccio adottato da Trend Micro si basa su un contesto più ampio che integra anche i dati dell’intelligence globale di Trend Micro e che permette di mettere in luce eventi che inizialmente possono apparire innocui, ma che possono essere indicatori di compromissione significativi e permettere di contenere rapidamente l’impatto riducendone al minimo gravità e portata.
Per semplificare il tutto una consolle con una sorgente di avvisi in ordine di priorità e ottimizzati, supportati da un’indagine guidata, semplifica poi le fasi necessarie per ottenere una comprensione in profondità del percorso degli attacchi e del loro impatto sull’organizzazione.
In questo modo si ha una prospettiva più ampia e un contesto migliore per identificare le minacce più semplicemente e contenerle in modo più efficace. Utilizzando un approccio di questo genere, osserva il manager, mettendo al centro la collaborazione e implementando la corretta soluzione, la security diventa così un gioco di squadra e l’azienda può continuare a sfrecciare veloce nel Gran Premio del Business, limitando al massimo le criticità,