Come le macchine possono guidare la lotta: AI e risposta agli incidenti

Molte aziende stanno adottando l'AI per la risposta agli incidenti per ridurre i tempi di risposta, limitare l'errore umano e gestire le minacce in modo più efficiente. La società legale Pillsbury prevede che la spesa per la cybersicurezza AI potrebbe raggiungere i 46,3 miliardi di dollari entro il 2027, spinta dall'aumento dell'automazione e dalle richieste di risposta in tempo reale.

Questo perché gli strumenti di AI stanno diventando sempre più sofisticati, ma anche perché l'AI si adatta perfettamente alle minacce di oggi. Poiché le reti sono diventate più complesse e distribuite grazie a tendenze come l'aumento del lavoro da remoto, la capacità dell'AI di analizzare milioni di eventi di sicurezza su piattaforme diverse è diventata sempre più preziosa. La sua velocità di rilevamento e di risposta, nel frattempo, significa che l'AI può spesso fermare le incursioni prima che si trasformino nel moderno incubo della cybersecurity: un attacco ransomware.

Qui analizzeremo ciò che l'AI può realisticamente raggiungere per i team di risposta agli incidenti, dove rimangono dei limiti e come implementarla in modo efficace senza fare eccessiva affidamento o falsa sicurezza.

La vera AI è in grado di imparare

L'Intelligenza Artificiale può essere trasformativa, ma le organizzazioni dovrebbero comunque guardare con attenzione prima di fare un salto. L'AI ha un po' un problema di marketing, con molte soluzioni che dichiarano di essere AI ma che in realtà non sono nulla di tutto ciò. Molte offerte utilizzano strumenti automatizzati per analizzare i dati e agire sui risultati, ma anche se questi processi statici possono essere sofisticati e utili, rientrano nell'analisi dei dati, non nell'AI.

L'AI reale utilizza approcci sovrapposti come l'apprendimento automatico (in cui l'AI applica algoritmi e modelli statistici ai dati e si basa sui risultati), le reti neurali (processo decisionale ponderato) e l'apprendimento profondo (una rete neurale artificiale multistrato). Possiede la conoscenza, l'intelligenza e la capacità di apprendere e di utilizzare l'apprendimento.

Queste caratteristiche consentono agli strumenti di cybersecurity AI di raccogliere e analizzare costantemente i dati, individuando modelli su una scala quasi inimmaginabile. Può scansionare i suoi beni, esaminare il panorama delle minacce e persino prevedere le violazioni. Più dati e più reti sono accessibili, più diventa utile.

Perché l'AI per la risposta agli incidenti inizia con il rilevamento precoce

La capacità di risposta agli incidenti dell'intelligenza artificiale inizia presto. I controlli di sicurezza, l'analisi comportamentale, il monitoraggio e la previsione intelligente aiutano l'AI a identificare le anomalie tra utenti, server e software. Quando si tratta di analizzare grandi modelli su una rete distribuita, l'AI batte gli osservatori umani a mani basse.
Combinando il monitoraggio costante con le informazioni sugli incidenti e i comportamenti passati, l'AI può individuare e valutare i rischi. Piuttosto che affidarsi semplicemente alle firme per identificare il malware, l'AI può valutare varie caratteristiche - come la crittografia di più file contemporaneamente o la ricerca di nascondersi dall'osservazione - per valutare il pericolo che il software può rappresentare.
Le piattaforme di posta elettronica e di collaborazione rimangono punti di ingresso ad alto rischio per gli incidenti informatici. L'AI svolge un ruolo importante nella risposta agli incidenti, analizzando i segnali comportamentali come gli allegati dannosi, i comportamenti di condivisione anomali o gli indicatori di phishing. Piattaforme come Mimecast contribuiscono al contesto e alla visibilità di questi canali, aiutando le organizzazioni a identificare gli indicatori precoci e a ridurre il tempo di permanenza prima che gli incidenti si aggravino.

L'AI è più di un semplice messaggero: può svolgere un ruolo attivo nella risposta.

L'intelligenza artificiale può ridurre l'affaticamento da allerta e silenziare il rumore di fondo che può portare gli analisti al muro. Individuando precocemente i problemi, consente ai team di sicurezza di eseguire il triage o di contrastare rapidamente gli incidenti, evitando che si aggravino. Ma mentre il suo ruolo di facilitatore è fondamentale, l'AI sta svolgendo un ruolo sempre più attivo.

Può identificare le attività ripetitive e relativamente di routine, valutando il livello di rischio e la quantità di contesto, per poi rispondere a tali incidenti su scala. Ad esempio, lo spegnimento automatico di un dispositivo infettato da un ransomware è una vittoria facile che può evitare un incidente grave.

L'AI è più efficace per la risposta agli incidenti quando fornisce agli investigatori una chiara visibilità e un contesto affidabile. Le piattaforme di sicurezza dell'intero ecosistema, comprese le piattaforme di sicurezza dei dati e della collaborazione come Mimecast, aiutano ad arricchire i dati sugli incidenti e ad alimentare i flussi di lavoro di risposta attraverso le integrazioni SIEM e SOAR. Questa visibilità stratificata migliora la velocità delle indagini, mantenendo una struttura di risposta coordinata tra i team di sicurezza.

Per gli incidenti più gravi o complessi, l'AI può utilizzare la sua conoscenza delle risorse - come la disponibilità e la competenza dei tecnici - per suggerire come gestire un incidente. Anche le squadre saranno in grado di iniziare la loro attività. I flussi di dati multipli possono essere raccolti ed estratti in un rapporto che i lavoratori possono analizzare e decidere una linea d'azione.

I cyberattaccanti usano l'AI, e anche lei dovrebbe farlo

Naturalmente, l'IA non viene utilizzata solo dai buoni. Gli aggressori possono utilizzare l'apprendimento automatico per identificare le vulnerabilità prima di cercare di sfruttarle attraverso il phishing o gli attacchi DDoS (Distributed Denial of Service), e possono persino utilizzare l'AI per personalizzare le e-mail di social engineering. È qui che l'AI per la risposta agli incidenti diventa una necessità difensiva, aiutando le organizzazioni a identificare i modelli di attacco generati dall'AI, ad automatizzare il contenimento e a ridurre i cicli di recupero.

L'AI fa anche parte del più ampio panorama degli incidenti. La sua capacità di scansionare velocemente grandi aree delle sue reti può aiutarla a recuperare gli incidenti in tempi più brevi. Può far emergere le cause alla radice delle vulnerabilità e mettere a disposizione dati e analisi, aiutando i CISO a sostenere le future misure di cybersecurity e a tutelarsi da incidenti futuri.

Gli approfondimenti guidati dall'AI di Mimecast rafforzano questo vantaggio difensivo, correlando l'attività delle minacce tra le piattaforme di posta elettronica e di collaborazione. Integrandosi con gli strumenti che le organizzazioni già utilizzano per orchestrare la risposta, Mimecast assicura che i dati sulle minacce e gli indicatori comportamentali fluiscano in modo efficiente, contribuendo a ridurre i tempi di indagine e a prevenire la reinfezione o la diffusione.

Ma l'AI non è tutto

Nonostante il suo potenziale, l'AI ha ancora dei limiti quando si tratta di rispondere agli incidenti. Per essere efficace, l'AI deve essere fatta bene, con strumenti integrati nel suo ecosistema esistente e adattati ai suoi flussi di lavoro.

Vale anche la pena di prendere con un pizzico di sale alcune delle affermazioni più audaci sull'IA. Sebbene tali sistemi imparino dai cambiamenti che li circondano, possono essere colti alla sprovvista da cambiamenti che potrebbero sembrare ovvi a un osservatore umano. La capacità dell'AI di identificare le anomalie può essere estremamente utile, ma può comunque lasciare migliaia di falsi positivi da indagare, soprattutto se si attinge da un pool di dati limitato. La verità è che l'Intelligenza Artificiale è uno strumento che vale quanto le persone che lo utilizzano. L'AI può supportare i team umani e ampliare le loro capacità, ma non può ancora competere con l'intuizione umana. Ma il giusto team di sicurezza, supportato dai giusti strumenti di AI, può fare un'enorme differenza nella sua posizione di cybersecurity.

La linea di fondo

Poiché le superfici di attacco delle organizzazioni diventano distribuite e complesse, la capacità dell'AI di operare su scala e con relativa autonomia è diventata fondamentale per la cybersecurity. E non si tratta solo di rilevamento delle minacce: come abbiamo visto, la risposta agli incidenti è un'area in crescita in cui l'AI può trasformare gli sforzi delle aziende.

L'AI non deve sostituire le difese tradizionali o le competenze umane. Invece, rafforza l'architettura di sicurezza esistente automatizzando le decisioni di routine e accelerando le tempistiche di risposta. Se abbinata a controlli di sicurezza stratificati e a una supervisione umana qualificata, l'AI consente ai team di risposta agli incidenti di operare più rapidamente, ridurre il rischio operativo e mantenere una maggiore resilienza operativa.

L'Intelligenza Artificiale non è una soluzione unica in cui investire al posto di altre soluzioni: piuttosto dovrebbe essere utilizzata per aumentare le difese che già avete, dai firewall e la caccia alle minacce alla sicurezza centrata sul rischio umano e alla formazione di consapevolezza e zero trust. Utilizzandola con saggezza, l'intelligenza artificiale può ridurre i rischi, gestire gli incidenti di routine e liberare il suo team di sicurezza per indirizzare le sue competenze dove sono più necessarie.

Esplora le soluzioni di sicurezza basate sull'intelligenza artificiale

**Questo blog è stato aggiornato da una versione precedente.