In materia di sicurezza informatica, il fattore tempo è un elemento determinante. Secondo una ricerca condotta da IBM Security X Force, la durata degli attacchi ransomware diretti alle aziende è calata di circa il 94% negli ultimi tre anni, passando da oltre due mesi a poco meno di quattro giorni. In quell’intervallo, sebbene sempre più ridotto, i cybercriminali sono velocissimi a scovare le informazioni di valore e trasferirle all’esterno della rete, con conseguente richiesta di riscatto indirizzata all’organizzazione colpita.
Di fronte a situazioni di questo tipo, le capacità di difesa non dipendono tanto dalla scelta di configurazioni di sicurezza preventive, quanto più dalla disponibilità di strumenti di Cybersecurity Automation in grado di avere piena visibilità per rilevare, identificare e - soprattutto - fermare la minaccia. L’attenzione deve spostarsi dal tentativo di prevenire l’attacco alla capacità di bloccarlo in modo tempestivo, prima che l’azienda sia costretta a fermarsi. É qui che entra in gioco l’Intelligenza Artificiale (AI).
Le soluzioni di sicurezza “intelligenti” sono oggi in grado di individuare, correlare e contestualizzare la grande varietà di segnali lasciati dagli attaccanti che si muovono all’interno dei sistemi, dal data center al cloud, dall’on-premises all’edge.
Le piattaforme di monitoraggio più avanzate, infatti, utilizzano da tempo tecnologie di ultima generazione per analizzare le attività di rete e individuare automaticamente quelle più rilevanti: studiano i comportamenti e la cronologia degli utenti per identificare gli account che effettuano movimenti sospetti e forniscono alert puntuali, riducendo al minimo il rumore di sottofondo.
C’è di più, però. Le soluzioni AI-powered vanno oltre l’identificazione di un vettore o di una metodologia: sono in grado di dedurre quale sia l’obiettivo del criminale informatico e di anticipare metodi di attacco mai incontrati prima. Soprattutto, permettono un’azione immediata e automatica di risposta alle minacce. La nuova frontiera della difesa “intelligente” prevede così un uso intensivo dell’Intelligenza Artificiale anche in chiave di remediation.
In questa fase, l’AI si rivela un’alleata preziosa per accelerare le operazioni e consentire tempi di reazione più rapidi da parte del Security Operation Center (SOC), chiamato ad applicare le policy di sicurezza aziendali e a eseguire le operazioni che permettono di bloccare gli attacchi ed eliminarne gli effetti. L’Automatic Remediation permette di avviare automaticamente le procedure necessarie per fermare l’infezione e impedire la compromissione dei servizi critici. Si va dalla modifica delle impostazioni dei firewall - per fermare il propagarsi di malware e worm - fino alla segmentazione di rete, che consente di isolare i dispositivi infetti.
Minore è il tempo di reazione, dunque, maggiore sarà la garanzia di efficacia delle misure di sicurezza. L’Automatic Remediation consente di modernizzare l’operatività del SOC, adottando un approccio che dà priorità all’esigenza di bloccare tempestivamente gli attacchi ed evitare l’interruzione delle attività aziendali. Dotarsi di soluzioni intelligenti significa migliorare l’accuratezza degli alert, ottimizzare il rilevamento e stabilire chiare priorità nelle risposte, velocizzando il flusso di lavoro dei responsabili della sicurezza.
Considerate le attuali strategie messe in atto dai criminali informatici, un moderno sistema di protezione deve concentrarsi sugli strumenti capaci di stroncare l’attacco sul nascere. L’efficacia dell’azione difensiva dipende dalle capacità del security team di battere sul tempo gli attaccanti nella diffusione del malware: le organizzazioni devono adottare una strategia di sicurezza che accetti il rischio della compromissione e disponga di tutti gli strumenti utili a garantire una risposta rapida e automatica nel caso in cui un attacco vada a segno.
Il ricorso a strumenti di Automatic Remediation rappresenta la contromisura migliore per mitigare il danno in caso di violazione dei sistemi. Affidarsi all’AI, capace di trattare grandi insiemi di dati in modo veloce ed efficiente, aiuta infatti ad arginare gli attacchi in corso prima che si trasformino in data breach. Questo contribuisce a tutelare la business continuity, delegando la risoluzione delle minacce informatiche a risposte automatiche che si attivano tempestivamente, e a far sì che l’organizzazione possa proseguire le sue attività senza dover fermare la macchina operativa.