▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Vectra AI Attack Signal Intelligence: semplificare per essere più efficaci

Vectra annuncia la piattaforma Attack Signal Intelligence che sfrutta l’AI per correlare i comportanti computer, utenti e applicazioni alle TTP mappate nei framework più accreditati, come MITRE.

Prodotti Vendor

Servizi, competenze e prodotti sono il trittico moderno per gestire le minacce cyber sempre più difficili da individuare e da bloccare. Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI, presenta la nuova declinazione aziendale dell’Intelligenza Artificiale con la piattaforma Attack Signal Intelligence e i servizi ad essa correlati indirizzati a clienti, system integratore e MSP.

Sono diverse le novità introdotte, che non si possono riassumere nella banale presenza dell’AI. Per sommi capi, si tratta di una nuova soluzione di security indirizzata ai team di security, creata per indagare e rispondere agli attacchi in tempo reale. Per questa finalità la Security AI-driven di Attack Signal Intelligence automatizza il rilevamento, la selezione e la definizione delle priorità delle minacce informatiche su public cloud, SaaS, identità e reti.

Come spiega Galvagna, infatti, “Attack Signal Intelligence è la combinazione di due modalità di algoritmi di AI che svolgono due tipi di analisi distinte. La prima è l’analisi in real-time del comportamento dei computer nel senso più ampio del termine (client, server, smartphone, telecamere, stampanti e le soluzioni IoT più disparate), di qualsiasi categoria di utenti (interni o esterni all’azienda), e il comportamento dell’accesso ai servizi – siano essi email, ERP, eccetera. Ossia i tre fondamenti dell’informatica”.


Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI

La soluzione di Vectra “cattura il traffico dati e ne analizza il comportamento riportandolo alle TTP (Tattiche, Tecniche e Procedure). Al contrario di altri prodotti, non lavora sulle anomalie, rivela il comportamento e riconduce quello malevolo a una tecnica di attacco. È un approccio molto differente da quello della concorrenza, ed è stato strutturato in questo modo perché – sottolinea Galvagna – “le tecniche di attacco sono molto lente a cambiare. Ci sono TTP scoperte 15 anni fa che sono tuttora valide”.

Dopo la prima fase descritta sopra, l’IA rimappa i comportamenti di computer, utenti e servizi sulle tecnologie di attacco. Nel momento in cui da questo incrocio di dati emerge qualcosa di significativo, Attack Signal Intelligence attiva un secondo livello di approfondimento: il motore riconduce quello che sta accadendo ai TTP noti (tipicamente MITRE ATT&CK), e se rileva una tecnica di attacco la mappa con la conoscenza dell’infrastruttura del cliente per assegnargli la corretta priorità.

La conseguenza diretta è che “l’analista incaricato di monitorare la console non si trova davanti a un evento singolo da correlare e indagare, ma a una scheda dell’incidente che contiene già l’attack chain in cui sono dettagliati tutti gli step che sono avvenuti e i relativi allarmi”. Alla luce di questi dati, gli algoritmi “capiscono” la portata dell’attacco e gli assegnano in automatico una priorità che è ritagliata su misura dell’infrastruttura del cliente.

Ecco perché la Security AI-driven Attack Signal Intelligence di Vectra libera i security analyst dalle ordinarie attività manuali quotidiane e li mette in condizione di fare ciò che sanno fare meglio: investigare e rispondere agli attacchi reali. Come rimarca Galvagna, la soluzione Vectra “riduce al minimo il flusso incontrollato di dati che investe gli analisti. La comprensione dell’incidente e la sua gravità non sono più in carico all’analista, ma agli algoritmi di AI. Quando si attiva l’alert nella console di amministrazione le indagini sono già fatte: l’analista ha sotto agli occhi l’elenco delle macchine coinvolte, delle credenziali utente compromesse, dei servizi abusati e la notifica della gravità di quanto sta accadendo”.


Alla luce di questo modo di procedere, Galvagna sottolinea come “MITRE ATT&CK accredita la nostra soluzione come capace di riconoscere oltre il 90% delle tecniche di attacchi contro network e cloud. E MITRE Defend cita Vectra come il vendor con il maggior numero di metodologie per rilevare le tecniche di attacco”.

Importante è segnalare a che punto entra in gioco la tecnologia Vectra: alla luce della sua lunga esperienza nel settore, Galvagna considera la prevenzione un passaggio importante, ma la cui efficacia è “penalizzata da grossi limiti, perché non esiste un prodotto di prevention che garantisca un’efficacia del 100%. Vectra interviene uno step dopo la prima compromissione, ossia appena fallisce la catena di prevention - tipicamente costituita da firewall, sandbox, CASB e altro - con un focus sulla detection e response”.

Vectra Attack Signal Intelligence è integrata in tutti i prodotti e servizi Cloud, Identity e Network Detection and Response di Vectra: Vectra CDR per AWS, Vectra CDR per Microsoft 365, Vectra IDR per Microsoft Azure AD, Vectra NDR per reti on-premises e cloud e Vectra MDR per cloud, identity e network threat detection and response.

Il servizio

Vectra AI ha annunciato anche la disponibilità dei servizi globali di Managed Detection and Response (MDR) con Attack Signal Intelligence. Grazie alla condivisione delle responsabilità, Vectra MDR rafforza i team SOC dei clienti e dei partner con competenze ed esperienze disponibili 24 ore su 24, sette giorni su sette e 365 giorni l’anno, per mitigare le minacce informatiche più avanzate.

Abbiamo chiesto a Galvagna perché l’azienda abbia ravveduto la necessità di erogare un servizio, al di là della scontata situazione cyber evidenziata sopra. La risposta in prima battuta è la “limitatezza dei team di security, che non hanno (o hanno molto raramente) la capacità di monitoraggio 24x7”. Qui ci si riallaccia a tre argomenti in particolare: il primo, ben noto, è che fatta eccezione per le grandi aziende, nell’ampio tessuto di PMI è raro trovare anche solo una figura verticale sulla security. I SOC sono appannaggio esclusivo delle grandi aziende – dove si possono trovare anche più livelli di SOC. Per il resto la situazione più diffusa è la presenza di una sola persona che deve giostrarsi fra IT, security, gestione dei dati, gestione degli accessi e via dicendo.

Questo non è compatibile con la necessità di supervisione delle moderne piattaforme di security, che possono svolgere “operazioni automatizzate di response, ma richiedono la presenza di analisti che prendano decisioni o che proseguano l’indagine sul prodotto compromesso – che è poi il ruolo odierno dell’analista dotato di tecnologia EDR. Servono quindi persone focalizzate sulla sicurezza, e presenti H24 perché l’opportunismo degli attaccanti li porta a sfruttare ogni agevolazione che le potenziali vittime gli lasciano, fra cui la copertura del monitoraggio. Sempre più spesso gli incidenti si verificano nel fine settimana, la notte o nei giorni di vacanza. Questo fa sì che il monitoraggio ininterrotto non possa più essere un optional o un lusso.


Appurato di non poter fare a meno degli analisti, Vectra offre loro una “semplificazione tale da permettergli di indagare rapidamente un attacco e impedire che si trasformi in una violazione. Secondo dati interni forniti da Vectra, con la sua soluzione i team di sicurezza sono più efficienti dell’85% nell’identificare le minacce reali e ottengono una produttività delle operazioni di sicurezza due volte superiore.

Clienti, partner e servizi

Le aziende che hanno un SOC interno possono sfruttare direttamente la piattaforma Vectra. Chi non può permettersi un investimento in questo senso può fare affidamento sui system integrator e sui partner fornitori di servizi gestiti. A questo proposito Galvagna sottolinea che “Vectra non vuole essere un competitor, è e resta un’azienda focalizzata sulla threat detection and response, declinata con tecnologie e servizi MDR. Nel caso del grande system integrator, Vectra affianca il personale interno fino al momento in cui la sua tecnologia non si è consolidata all’interno delle procedure di SOC, poi si sgancia”.

Discorso differente è quello degli MDR, a cui propone “una soluzione semplice, che è un valore inestimabile per gli analisti deputati all’erogazione di servizi ai clienti. Non dà segnali inutili, riduce il numero di alert e presenta una scheda incidente chiara con tutti i dettagli necessari per agire velocemente”.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ChannelCity.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo del canale ICT

Iscriviti alla newsletter