La Vectra AI Platform affronta la spirale del più: più superficie di attacco, più sofisticazione dei metodi di attacco, più strumenti, più regole, più burnout degli analisti di sicurezza. In un periodo nel quale la geopolitica è al centro del mondo, certamente la consapevolezza sui rischi di attacchi cibernetici è maggiore rispetto al passato.
Ne abbiamo parlato con Massimiliano Galvagna, country manager per l’Italia di Vectra AI.
“Stiamo lavorando molto nel settore militare e governativo. Siamo una delle poche tecnologie in grado di fare analisi al 100% on premises, quindi senza mandare alcunché in cloud” spiega Galvagna. Questo aspetto è estremamente importante sul lato militare, dove “Vectra AI ha già delle collaborazioni importanti: lavoriamo anche con Leonardo”.
Il falso positivo è un forte overhead
Una delle chiavi della risposta agli attacchi è la precisione: l’alto volume di falsi positivi è un overhead per il Soc. Vectra AI Platform abbassa drasticamente il numero di falsi positivi. “Un elemento che ci differenzia è l’approccio – riprende il country manager -. Noi siamo presenti sul mercato da oltre dieci anni quindi la nostra tecnologia è molto matura. La maggior parte dei concorrenti si focalizza sul rilevare ciò che si discosta da una baseline, il consueto lavoro dell’utente: questo può portare a rilevare qualcosa di malevolo ma può anche rilevare molti falsi positivi”.
Vectra dunque punta l’anomalia. “Che io sappia, Vectra AI ha l’unica tecnologia sul mercato che usa algoritmi di intelligenza artificiale per rilevare tecniche, tattiche e procedure di attacco – spiega Galvagna –; quando noi scattiamo su un alert magari non rileviamo una vera anomalia da rischio, ma solo il diverso comportamento di un utente”.
La costruzione di una baseline per il comportamento degli utenti, che per molti è l’attività principale o esclusiva, per Vectra rappresenta il 20% della detection; “il restante 80% è dedicato alla ricerca di tecniche, tattiche e procedure degli attaccanti, un’attività che ci permette di individuare le reali compromissioni con grande precisione”, riducendo i falsi positivi e quindi i costi di gestione.
L’Attack Signal Intelligence della Vectra AI Platform offre rilevamento e una risposta (XDR) agli attacchi ibridi, in velocità e su scala.
“L’enorme crescita del multi-cloud hanno reso più complessa la sfida della sicurezza per la maggior parte delle imprese moderne – interviene Paolo Lauretti, Regional partner manager per il Sud Europa – Vectra AI rimane focalizzata al 100% sul canale, dove stiamo registrando una crescita di oltre il 100% su base annua, con segnali incoraggianti per il 2024”.
Formazione ok in azienda e nella PA
Medie e grandi imprese in Italia fanno molta formazione e a un livello adeguato alle necessità. “Sulle medio-grandi imprese, sicuramente c’è molta competenza e in percentuale direi che ci avviciniamo all’80% delle competenze necessarie: nei Soc ci sono analisti davvero molto formati, lo vediamo in tutti i settori dal telco al bancario, all’energy-oil-gas”.
La formazione è buona, ma attira un numero ridotto di futuri esperti. Anche per questo, “i Soc sono sotto-staffati”. La formazione è adeguata per perseguire il day by day, ma “quando c’è un grosso incidente, tipicamente vengono ingaggiate delle aziende esterne”.
Parlando invece del settore pubblico, in particolare della PAL, “i fondi del PNRR sicuramente sono serviti ai Comuni, che li stanno investendo proprio sulle nuove tecnologie: stiamo lavorando con grossi player di mercato o di canale proprio verso tutti quei piccoli Comuni che non potrebbero attrezzarsi per comprare la nostra tecnologia”.
Decriptare i payload non è un vantaggio
Sempre di più la cybersecurity richiede l’efficacia della decriptazione nel rilevare attacchi cibernetici avanzati, come i nation state e i RansomOps manuali. Un’analisi di Alessio Mercuri, Security Engineer di Vectra, entra in dettaglio su alcune informazioni.
La decriptazione dei payload dei pacchetti è spesso vista come un aiuto, ma in realtà non lo è. La decriptazione, passiva o attiva, è operativamente costosa e non offre vantaggi significativi nella tracciatura del canale C2 di un attaccante o nell’esfiltrazione dei dati. In particolare, gli attacchi nation state usano strumenti altamente personalizzati e configurati diversamente per ogni obiettivo, rendendo inefficace la decriptazione.
Anche gli attacchi RansomOps, essendo manuali e spesso modificati per evitare la rilevazione, non beneficiano significativamente della decriptazione. In entrambi i casi, la decriptazione non migliora sostanzialmente le capacità di rilevamento degli attacchi avanzati.