Salta al contenuto

Temi di tendenza

Endpoint Detection and Response: i dettagli che fanno la differenza

Marzia Romeo

18.05.18 5 minuti di lettura

Così come crescono le opportunità di business digitali, lo stesso accade alle opportunità per i criminali. La combinazione di intelligenza artificiale e specialisti di cyber security è la più adeguata per rilevare e rispondere alle odierne minacce avanzate.

Rilevare le attività nascoste di un attaccante a partire dalle tracce che lascia dietro di sè è una situazione completamente nuova. In un ambiente di media dimensione di un cliente – con solo 1300 endpoint – dobbiamo analizzare 70 milioni di eventi al giorno.

L’intelligenza artificiale e il machine learning rappresentano l’unica soluzione scalabile. Tuttavia, l’AI da sola non è la risposta – la perfetta combinazione di data science ed esperti di cyber security lo è.

Cyber security di livello enterprise per tutti

Questa settimana, F-Secure ha annunciato una nuovissima soluzione di Endpoint Detection and Response (EDR) per il midmarket che è stata costruita sulla nostra esperienza in prima linea nella protezione dei nostri clienti enterprise e utilizza il machine learning per rilevare gli attacchi fileless, l’escalation dei privilegi e altre tattiche avanzate usate dagli attaccanti.

F-Secure Rapid Detection & Response fornisce alle aziende che non hanno team IT e e di sicurezza estesi o grandi budget, le capacità avanzate di cui hanno bisogno per difendersi dagli attacchi mirati.

L’approccio “Uomo e Macchina”

Per superare il problema di avere troppi dati grezzi sugli eventi da processare per un essere umano, F-Secure ha sviluppato l’analisi dei dati comportamentali per restringere il numero delle informazioni e i meccanismi Broad Context Detection™ per definire un contesto relativo agli eventi che si verificano sugli host interessati.

E i risultati? Da 70 milioni di eventi analizzati ogni giorno, in media rimangono 2-3 rilevazioni che hanno bisogno di essere analizzate.

marging-manmachine_v3-slideb

Detection and Response: il futuro

L’approccio tradizionale consiste nel creare e applicare una serie di rilevazioni basandosi sul comportamento “cattivo” conosciuto. Il nostro approccio, invece, esegue attacchi reali contro i nostri sistemi e insegna loro come siano i comportamenti “buoni”. Quindi tutto il resto sarà segnalato come da analizzare ulteriormente e filtrato per identificare i falsi positivi.

All’evento di lancio, Mika Ståhlberg, CTO di F-Secure, ha specificato che questo sarà l’approccio che la maggior parte dei vendor specializzati sulla breach detection adotterà in futuro.

L’ambiente è in continuo mutamento

I sistemi di rilevazione delle minacce hanno bisogno di adattarsi ai cambiamenti rapidamente. Nell’ambiente monitorato, tutto è in continuo cambiamento – persone, dispositivi, sistemi operativi, software, minacce e TTP.

Data la natura di questo cambiamento, le soluzioni IDS tradizionali tendono ad essere “rumorose” e inclini a falsi allarmi. Queste soluzioni tradizionali, inoltre, sono sempre un passo indietro rispetto al reale panorama delle minacce.

La chiave della rilevazione rapida è nel backend

Per affrontare questo problema, i nostri data scientist, lavorando a fianco dei nostri esperti di cyber security, hanno progettato e creato una serie di analisi statistiche di backend, machine learning e sistemi esperti per supportare i nostri analisti.

Ståhlberg spiega che il cuore del backend F-Secure è molto semplice, e tutta la complessità risiede negli algoritmi circostanti. Questo approccio abilita tempi di deployment molto rapidi per nuovi algoritmi di rilevazione – parliamo di minuti – e permette di adattarsi ai cambiamenti velocemente.

Con il servizio di detection and response di F-Secure attivo, non è mai necessario aspettare i sistemi implementati on premise per ricevere aggiornamenti – tutta la logica è nei nostri sistemi backend.

Tecniche di analisi diverse per compiti diversi

Il nostro sistema di analisi svolge una serie di compiti, dall’analisi e apprendimento dei comportamenti negli ambienti monitorati fino alla riduzione dei falsi positivi.

Un sistema esperto trova i tipi di comportamento causati dai comuni strumenti di attacco e dai TTP utilizzati dai cyber criminali. Tra questi, sono inclusi i comandi PowerShell e gli indirizzi URL e IP malevoli.

I sistemi di machine learning sono progettati per individuare i comportamenti maligni precedentemente sconosciuti, quali gli hijack DHCP, movimenti laterali, spoofing, e altre tattiche furtive di evasione. Utilizziamo anche diverse combinazioni multi-livello di sistemi esperti, analisi statistica e machine learning.

Le analisi statistiche semplici sono le più adatte per eliminare i falsi positivi, e applicando questi metodi, attualmente eliminiamo all’incirca l’80% di tutti gli alert non pertinenti.

Il modo in cui abbiamo costruito questi sistemi e il modo in cui interagiscono gli uni con gli altri è unico, è qualcosa che non abbiamo visto da nessun altra parte nel settore.

we_see_things_others_do_not_slide_b

Sempre un passo più avanti rispetto agli attaccanti

Questa combinazione di intelligenza artificiale e specialisti di cyber security è la configurazione più efficiente e adatta per lavorare con l’elevata quantità di dati sugli eventi. Ci permette di individuare gli attacchi prima che abbiano la possibilità di danneggiare o accedere ai dati business-critical.

“L’intelligenza artificiale ‘formata’ dai migliori esperti di cyber security è fondamentale quando cerchi un ago in un pagliaio digitale, e nelle mani giuste, è capace di mantenere i difensori un passo avanti rispetto agli attaccanti più preparati e altamente motivati,” dichiara Ståhlberg.

Questo è l’elemento che cambia le regole del gioco per le aziende del midmarket. Con le moderne tecnologie, l’AI e il machine learning, noi, insieme ai nostri partner, saremo in grado di portare la cyber security di livello enterprise a tutti.

Vuoi saperne di più? Contattaci!

fsecuresamukonttinenspecies18-2-e1526556349688

Il keynote di Samu Konttinen, CEO di F-Secure, all’evento di lancio di Rapid Detection & Response.

Marzia Romeo

18.05.18 5 minuti di lettura

Leave a comment

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

Post correlati

Newsletter modal

Grazie del tuo interesse per la newsletter di F-Secure. Riceverai a breve un email per confermare la sottoscrizione.

Gated Content modal

Congratulazioni – ora puoi accedere al contenuto cliccando sul bottone sottostante.