Le aziende sono ormai piene di strumenti di monitoraggio e gli eventi di sicurezza generano veri e propri big data che arrivano ai team di sicurezza, impegnandoli in continue cacce al tesoro o intrappolandoli in labirinti, nel tentativo di impedire una violazione.
Ci sono molte strade da percorrere, ma non tutte porteranno alla soluzione di cui il team ha bisogno. Alla fine, questo processo si traduce in un compito estenuante e dispendioso.
Resilient security oltre l’analytics predittiva
Le tecnologie di analytics possono fornire un importante contributo alla risoluzione di questi problemi.
L’approccio di analytics più comune oggi nella sicurezza riguarda modelli predittivi, per identificare possibili rischi all’interno di grandi quantità di dati. In breve, la modellazione predittiva combina i dati storici con il comportamento in tempo reale per comprendere o prevedere l’evoluzione futura.
Con questo tipo di analisi possiamo rispondere alla domanda “Cosa succede dopo?”.
L’analisi predittiva è, tuttavia, solo un tassello di un puzzle più esteso. L’approccio analitico ideale dovrebbe combinare sensori intelligenti e fonti di dati distribuiti (desktop, server, dispositivi mobili, cloud, social network, IoT) con molteplici forme di analisi avanzata: analisi comportamentale e delle minacce, analisi forensi, modellizzazione dei rischi, rilevamento di anomalie, ottimizzazione comportamentale e di risposta e altro ancora.
Grazie agli strumenti di machine learning è possibile andare oltre un rilevamento avanzato delle minacce per fornire indicazioni su come la minaccia potrebbe essere prevenuta o contenuta: in definitiva, identificare la migliore azione di risposta possibile, prima ancora che le minaccia si sia presentata alle porte della propria azienda.
In altre parole, consente di rispondere ad altre domande chiave, come: “Quante minacce ci sono?“ e “Qual è la migliore reazione possibile?“.
Questo approccio definisce i contorni di un modello di “resilient security” capace di adattare costantemente il livello di protezione in modo intelligente e dinamico all’evoluzione delle minacce.
Il contributo del machine learning
Le aziende hanno oggi bisogno di tecnologie di machine learning per risolvere i problemi che i loro team di sicurezza devono affrontare perché i processi esistenti non hanno la capacità di scalare a piacere e non riescono a far fronte efficacemente alle nuove esigenze di protezione.
Gli strumenti di machine learning e analytics possono semplificare e accelerare notevolmente il processo di identificazione e analisi di trend importanti, favorendo l’identificazione delle vere minacce.
Il machine learning mette a disposizione strumenti per filtrare tutte le informazioni in arrivo, identificare i posti giusti dove cercare e identificare le risposte idonee rilevare le minacce in termini di minuti e ore, anziché in giorni e settimane (se non addirittura mesi o anni).
Questi nuovi strumenti sono applicabili non solo ai processi che coinvolgono le macchine, ma consentono di analizzare le vulnerabilità associate agli utenti e al loro comportamento che rappresentano un rischio molto elevato all’interno dell’azienda, soprattutto quando si tratta di utenti che godono di accessi privilegiati a informazioni business critical.
Gli strumenti di intelligenza artificiale permettono di effettuare analisi avanzate basate su sofisticate correlazioni combinando dati provenienti da ogni fonte e ogni dispositivo di controllo, sintetizzando i risultati e proponendoli all’utente in modo coerente all’interno di una dashboard.
Questo consente di comprendere rapidamente la situazione associata a un’entità, un utente, un file, un dispositivo client, un server, un indirizzo IP o un altro componente IT.
Se i professionisti della sicurezza hanno a disposizione tutte queste informazioni all’interno di una dashboard intuitiva e interattiva possono analizzare in modo approfondito i motivi per cui le caratteristiche, i modelli di utilizzo e i comportamenti di un’entità sono da considerare a rischio più elevato di altri.
È una condizione che permette di dedicare meno tempo alla raccolta dei dati e più tempo alla comprensione di un attacco così come di ridurre le risorse e il budget speso per l’analisi, che favorisce la comprensione dei processi aziendali, dei modelli di comportamento degli utenti e delle relazioni tra le entità.
In tal modo diventa abilitante per la predisposizione di strategie e metodi di security governance capaci di adattarsi dinamicamente al rischio.