La correlazione degli eventi è il valore chiave quando si tratta di strumenti NDR, Network Detection and Response, che vengono integrati con altre soluzioni tradizionali quali EDR e firewall. Questa integrazione di sistemi di protezione degli endpoint e del network in azienda diviene in particolare necessaria con l’evoluzione dei sistemi produttivi in ambito di Industria 4.0, dove le risorse aziendali vengono accedute in remoto anche dall’esterno del classico perimetro dell’organizzazione. La visibilità ampliata che questa complementarietà di strumenti di cybersecurity offre convoglia quindi a livello centrale una quantità di dati provenienti da più sorgenti all’interno dell’infrastruttura IT dell’azienda. L’adozione di tecniche di AI e machine learning nelle soluzioni di sicurezza informatica e protezione della rete abilitano quindi un livello di analisi e monitoraggio superiore, grazie alla capacità non solo di analizzare quantità ingenti di dati in tempo reale, ma anche di contestualizzarli e metterli in relazione tra loro.
Un tale livello di cyber intelligence, che nasce proprio dalla correlazione di dati e informazioni abilitata dalla AI, è in particolare necessario per far fronte alla crescente complessità degli attacchi e alla mutevolezza delle minacce. In un panorama della minaccia cibernetica che sempre più fa ricorso ad attività di violazione cui seguono movimenti laterali, volti allo studio preliminare della rete, la correlazione diviene in particolare indispensabile per rilevare piccole attività sospette o anomalie nei dati di rete che, presi di per sé, potrebbero non innescare un allarme di sicurezza. In tale contesto, la correlazione degli eventi grazie alla AI serve a scovare minacce che si possono dissimulare tra il traffico di rete, superando anche le barriere tra silos aziendali e tracciando le minacce in maniera trasversale a dipartimenti e domini diversi.
Grazie alla correlazione, l’AI permette ad esempio di rilevare schemi ripetitivi di eventi che, se presi singolarmente possono sembrare innocui e senza particolare significato – ad esempio picchi di traffico improvvisi, accessi inusuali o cambiamenti nella configurazione dei sistemi -, se ripetuti in un breve lasso di tempo possono invece indicare una minaccia che si muove nel sistema informatico dell’azienda, e quindi un attacco informatico in corso.
La correlazione e l’analisi avvengono su dati provenienti da fonti diverse, quali strumenti EDR sugli endpoint, che possono per esempio individuare la modifica non autorizzata di un file o l’esecuzione insolita di un programma; e strumenti NDR, che rilevano le potenziali minacce che sorgono nel traffico di rete e la attraversano, come i movimenti laterali dei threat actor o flussi anomali nel traffico.
Ogni potenziale fonte di rischio viene in tal modo individuata, procedendo a isolare la porzione di rete o il device compromesso. Ad esempio, isolando dispositivi infettati, bloccando indirizzi IP sospetti o forzando un utente a effettuare nuovamente l’autenticazione. In tal modo viene bloccato il movimento laterale degli aggressori, e ridotto il rumore da falsi positivi che viene invitato ai team di sicurezza.
Non per niente tutti i principali produttori di soluzioni di cybersecurity a livello mondiale stanno sempre più integrando con tecniche di AI la capacità di reazione e risposta dei loro software anti malware. Gartner rileva che tutti i nomi di riferimento nel mercato della cybersecurity stanno implementando già da qualche anno AI, machine learning e AI generativa per incrementare il livello di cyber intelligence offerto dalle loro soluzioni. Sempre Gartner, in una analisi del 2024, ha inserito anche il produttore Sangfor tra le aziende più rappresentative nel mercato NDR. Interessante anche rimarcare come proprio Sangfor stia prendendo piede anche tra le aziende italiane, in virtù della validità tecnologica dei prodotti che offre unita a prezzi estremamente competitivi. Significativa è quindi pure l’acquisizione per 5,3 miliardi di dollari da parte del fondo di investimento Thomas Bravo dell’azienda Darktrace, realtà specializzata nella ricerca di minacce informatiche attraverso l’analisi del traffico di rete abilitato dalla AI con capacità di self-training.
Altro fondamentale valore aggiunto offerto dalle soluzioni NDR potenziate da AI e machine learning con funzioni di auto apprendimento è la scalabilità dello strumento. Queste non imparano infatti a riconoscere e rilevare minacce basandosi solamente su modelli conosciuti di threat intelligence, ma imparano a conoscere le peculiarità nella struttura logica dell’organizzazione, dei suoi utenti, delle applicazioni e dei work load specifici dell’azienda. Lo strumento è così in grado di riconoscere anomalie rispetto a questa normalità, adattandosi in modo dinamico all’evolvere e ai cambiamenti nella configurazione dell’infrastruttura, potendo quindi rilevare anche minacce zero-day, restando al passo con il concomitante continuo sviluppo di nuove tecniche di attacco da parte dei cybercriminali.
La capacità di comprendere il contesto cambia inoltre radicalmente la precisione e la correttezza nella risposta. A ciò si aggiunga il fattore tempo, in quanto la tempestività della risposta al rilevamento di una anomalia è essenziale per contenere gli attacchi e ridurne l’impatto sulla continuità del business e l’operatività. AI e deep learning, offrendo capacità di elaborazione e analisi di un’enorme quantità di dati e informazioni da fonti diverse in tempo reale, possono accelerare il processo di rilevazione e risposta, fornendo ai professionisti della sicurezza informazioni di qualità, dettagliate e tempestive.
Riducendo il rumore, l’attività di correlazione degli eventi permette quindi anche di alleggerire il carico centrale per i team di sicurezza all’interno del SOC così come nei servizi gestiti da team esterni di esperti di cybersecurity, grazie alla analisi comportamentale con strumenti di deep learning integrati in soluzioni NDR e alla automazione delle risposte. I professionisti della sicurezza possono in tal modo concentrarsi sul raffinare la strategia di risposta sugli eventi ad alta priorità per la sicurezza e la protezione dei dati in azienda. Se infatti l’AI nelle soluzioni di cybersecurity è una tecnologia abilitante potente nell’accelerare la detection and response, la decisione ultima spetta sempre all’essere umano. L’AI è infatti un prezioso supporto nel fornire dati, correlazioni e analisi delle informazioni e raccomandazioni. La decisione finale resta però sempre in capo ai professionisti della sicurezza, che hanno poi il compito di valutare la situazione nell’ambito dello specifico contesto aziendale.