Endpoint Detection and Response: i dettagli che fanno la differenza

cybersecurity

Così come crescono le opportunità di business digitali, lo stesso accade alle opportunità per i criminali. La combinazione di intelligenza artificiale e specialisti di cyber security è la più adeguata per rilevare e rispondere alle odierne minacce avanzate.

Rilevare le attività nascoste di un attaccante a partire dalle tracce che lascia dietro di sè è una situazione completamente nuova. In un ambiente di media dimensione di un cliente – con solo 1300 endpoint – dobbiamo analizzare 70 milioni di eventi al giorno.

L’intelligenza artificiale e il machine learning rappresentano l’unica soluzione scalabile. Tuttavia, l’AI da sola non è la risposta – la perfetta combinazione di data science ed esperti di cyber security lo è.

Cyber security di livello enterprise per tutti

Questa settimana, F-Secure ha annunciato una nuovissima soluzione di Endpoint Detection and Response (EDR) per il midmarket che è stata costruita sulla nostra esperienza in prima linea nella protezione dei nostri clienti enterprise e utilizza il machine learning per rilevare gli attacchi fileless, l’escalation dei privilegi e altre tattiche avanzate usate dagli attaccanti.

F-Secure Rapid Detection & Response fornisce alle aziende che non hanno team IT e e di sicurezza estesi o grandi budget, le capacità avanzate di cui hanno bisogno per difendersi dagli attacchi mirati.

L’approccio “Uomo e Macchina”

Per superare il problema di avere troppi dati grezzi sugli eventi da processare per un essere umano, F-Secure ha sviluppato l’analisi dei dati comportamentali per restringere il numero delle informazioni e i meccanismi Broad Context Detection™ per definire un contesto relativo agli eventi che si verificano sugli host interessati.

E i risultati? Da 70 milioni di eventi analizzati ogni giorno, in media rimangono 2-3 rilevazioni che hanno bisogno di essere analizzate.

marging-manmachine_v3-slideb

Detection and Response: il futuro

L’approccio tradizionale consiste nel creare e applicare una serie di rilevazioni basandosi sul comportamento “cattivo” conosciuto. Il nostro approccio, invece, esegue attacchi reali contro i nostri sistemi e insegna loro come siano i comportamenti “buoni”. Quindi tutto il resto sarà segnalato come da analizzare ulteriormente e filtrato per identificare i falsi positivi.

All’evento di lancio, Mika Ståhlberg, CTO di F-Secure, ha specificato che questo sarà l’approccio che la maggior parte dei vendor specializzati sulla breach detection adotterà in futuro.

L’ambiente è in continuo mutamento

I sistemi di rilevazione delle minacce hanno bisogno di adattarsi ai cambiamenti rapidamente. Nell’ambiente monitorato, tutto è in continuo cambiamento – persone, dispositivi, sistemi operativi, software, minacce e TTP.

Data la natura di questo cambiamento, le soluzioni IDS tradizionali tendono ad essere “rumorose” e inclini a falsi allarmi. Queste soluzioni tradizionali, inoltre, sono sempre un passo indietro rispetto al reale panorama delle minacce.

La chiave della rilevazione rapida è nel backend

Per affrontare questo problema, i nostri data scientist, lavorando a fianco dei nostri esperti di cyber security, hanno progettato e creato una serie di analisi statistiche di backend, machine learning e sistemi esperti per supportare i nostri analisti.

Ståhlberg spiega che il cuore del backend F-Secure è molto semplice, e tutta la complessità risiede negli algoritmi circostanti. Questo approccio abilita tempi di deployment molto rapidi per nuovi algoritmi di rilevazione – parliamo di minuti – e permette di adattarsi ai cambiamenti velocemente.

Con il servizio di detection and response di F-Secure attivo, non è mai necessario aspettare i sistemi implementati on premise per ricevere aggiornamenti – tutta la logica è nei nostri sistemi backend.

Tecniche di analisi diverse per compiti diversi

Il nostro sistema di analisi svolge una serie di compiti, dall’analisi e apprendimento dei comportamenti negli ambienti monitorati fino alla riduzione dei falsi positivi.

Un sistema esperto trova i tipi di comportamento causati dai comuni strumenti di attacco e dai TTP utilizzati dai cyber criminali. Tra questi, sono inclusi i comandi PowerShell e gli indirizzi URL e IP malevoli.

I sistemi di machine learning sono progettati per individuare i comportamenti maligni precedentemente sconosciuti, quali gli hijack DHCP, movimenti laterali, spoofing, e altre tattiche furtive di evasione. Utilizziamo anche diverse combinazioni multi-livello di sistemi esperti, analisi statistica e machine learning.

Le analisi statistiche semplici sono le più adatte per eliminare i falsi positivi, e applicando questi metodi, attualmente eliminiamo all’incirca l’80% di tutti gli alert non pertinenti.

Il modo in cui abbiamo costruito questi sistemi e il modo in cui interagiscono gli uni con gli altri è unico, è qualcosa che non abbiamo visto da nessun altra parte nel settore.

we_see_things_others_do_not_slide_b

Sempre un passo più avanti rispetto agli attaccanti

Questa combinazione di intelligenza artificiale e specialisti di cyber security è la configurazione più efficiente e adatta per lavorare con l’elevata quantità di dati sugli eventi. Ci permette di individuare gli attacchi prima che abbiano la possibilità di danneggiare o accedere ai dati business-critical.

“L’intelligenza artificiale ‘formata’ dai migliori esperti di cyber security è fondamentale quando cerchi un ago in un pagliaio digitale, e nelle mani giuste, è capace di mantenere i difensori un passo avanti rispetto agli attaccanti più preparati e altamente motivati,” dichiara Ståhlberg.

Questo è l’elemento che cambia le regole del gioco per le aziende del midmarket. Con le moderne tecnologie, l’AI e il machine learning, noi, insieme ai nostri partner, saremo in grado di portare la cyber security di livello enterprise a tutti.

Vuoi saperne di più? Contattaci!

fsecuresamukonttinenspecies18-2-e1526556349688
Il keynote di Samu Konttinen, CEO di F-Secure, all’evento di lancio di Rapid Detection & Response.

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: