Vectra AI: sconfiggere i falsi positivi senza andare in cloud

L’80% delle risorse di detection viene dedicata a tecniche, tattiche e procedure degli attaccanti: a colloquio con Massimiliano Galvagna, country manager per l’Italia di Vectra AI

La Vectra AI Platform affronta la spirale del più: più superficie di attacco, più sofisticazione dei metodi di attacco, più strumenti, più regole, più burnout degli analisti di sicurezza. In un periodo nel quale la geopolitica è al centro del mondo, certamente la consapevolezza sui rischi di attacchi cibernetici è maggiore rispetto al passato.

Massimiliano Galvagna, country manager per l’Italia di Vectra AI.
Massimiliano Galvagna, country manager per l’Italia di Vectra AI.

Ne abbiamo parlato con Massimiliano Galvagna, country manager per l’Italia di Vectra AI.

“Stiamo lavorando molto nel settore militare e governativo. Siamo una delle poche tecnologie in grado di fare analisi al 100% on premises, quindi senza mandare alcunché in cloud” spiega Galvagna. Questo aspetto è estremamente importante sul lato militare, dove “Vectra AI ha già delle collaborazioni importanti: lavoriamo anche con Leonardo”.

Il falso positivo è un forte overhead

Una delle chiavi della risposta agli attacchi è la precisione: l’alto volume di falsi positivi è un overhead per il Soc. Vectra AI Platform abbassa drasticamente il numero di falsi positivi. “Un elemento che ci differenzia è l’approccio – riprende il country manager -. Noi siamo presenti sul mercato da oltre dieci anni quindi la nostra tecnologia è molto matura. La maggior parte dei concorrenti si focalizza sul rilevare ciò che si discosta da una baseline, il consueto lavoro dell’utente: questo può portare a rilevare qualcosa di malevolo ma può anche rilevare molti falsi positivi”.

Vectra dunque punta l’anomalia. “Che io sappia, Vectra AI ha l’unica tecnologia sul mercato che usa algoritmi di intelligenza artificiale per rilevare tecniche, tattiche e procedure di attacco – spiega Galvagna –; quando noi scattiamo su un alert magari non rileviamo una vera anomalia da rischio, ma solo il diverso comportamento di un utente”.

La costruzione di una baseline per il comportamento degli utenti, che per molti è l’attività principale o esclusiva, per Vectra rappresenta il 20% della detection; “il restante 80% è dedicato alla ricerca di tecniche, tattiche e procedure degli attaccanti, un’attività che ci permette di individuare le reali compromissioni con grande precisione”, riducendo i falsi positivi e quindi i costi di gestione.

L’Attack Signal Intelligence della Vectra AI Platform offre rilevamento e una risposta (XDR) agli attacchi ibridi, in velocità e su scala.

“L’enorme crescita del multi-cloud hanno reso più complessa la sfida della sicurezza per la maggior parte delle imprese moderne – interviene  Paolo Lauretti, Regional partner manager per il Sud EuropaVectra AI rimane focalizzata al 100% sul canale, dove stiamo registrando una crescita di oltre il 100% su base annua, con segnali incoraggianti per il 2024”.

Formazione ok in azienda e nella PA

Medie e grandi imprese in Italia fanno molta formazione e a un livello adeguato alle necessità. “Sulle medio-grandi imprese, sicuramente c’è molta competenza e in percentuale direi che ci avviciniamo all’80% delle competenze necessarie: nei Soc ci sono analisti davvero molto formati, lo vediamo in tutti i settori dal telco al bancario, all’energy-oil-gas”.

La formazione è buona, ma attira un numero ridotto di futuri esperti. Anche per questo, “i Soc sono sotto-staffati”. La formazione è adeguata per perseguire il day by day, ma “quando c’è un grosso incidente, tipicamente vengono ingaggiate delle aziende esterne”.

Parlando invece del settore pubblico, in particolare della PAL, “i fondi del PNRR sicuramente sono serviti ai Comuni, che li stanno investendo proprio sulle nuove tecnologie: stiamo lavorando con grossi player di mercato o di canale proprio verso tutti quei piccoli Comuni che non potrebbero attrezzarsi per comprare la nostra tecnologia”.

Decriptare i payload non è un vantaggio

Sempre di più la cybersecurity richiede l’efficacia della decriptazione nel rilevare attacchi cibernetici avanzati, come i nation state e i RansomOps manuali. Un’analisi di Alessio Mercuri, Security Engineer di Vectra, entra in dettaglio su alcune informazioni.

La decriptazione dei payload dei pacchetti è spesso vista come un aiuto, ma in realtà non lo è. La decriptazione, passiva o attiva, è operativamente costosa e non offre vantaggi significativi nella tracciatura del canale C2 di un attaccante o nell’esfiltrazione dei dati. In particolare, gli attacchi nation state usano strumenti altamente personalizzati e configurati diversamente per ogni obiettivo, rendendo inefficace  la decriptazione.

Anche gli attacchi RansomOps, essendo manuali e spesso modificati per evitare la rilevazione, non beneficiano significativamente della decriptazione. In entrambi i casi, la decriptazione non migliora sostanzialmente le capacità di rilevamento degli attacchi avanzati.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

LEGGI ANCHE

Gli ultimi articoli