Previous Page  29 / 84 Next Page
Information
Show Menu
Previous Page 29 / 84 Next Page
Page Background

La Threat Intelligence, infine, rappresenta

l’esperienza frutto del Malware Lab unita

a fonti dati presenti su internet (OSINT) e

sorgenti gestite dal team di security. Que-

ste informazioni, opportunamente correlate,

permettono di incrementare notevolmente il

livello di precisione ed accuratezza dei ri-

sultati. Questi tre strumenti, se correttamente

coordinati, rappresentano la base del pro-

cesso di “Threat Hunting”.

In che modo queste tecnologie possono

aiutare le organizzazioni a proteggersi più

efficientemente?

L’efficacia di questi strumenti matematici

applicati alla cyber security dipende dalla

capacità degli algoritmi di «leggere i dati

come farebbe un esperto analista» e fornire

al Security Operation Center strumenti di

monitoraggio che mostrino poche ed accu-

rate informazioni che siano utili ad una rapida identifica-

zione delle reali minacce.

A livello pratico, meglio si riesce a far interagire questi stru-

menti fra di loro, più tempo avrà l’analista per concentrarsi

sulle attività ad alto valore aggiunto.

Ovvero, che tipo di attività?

Tutte quelle attività che non possono essere automatizzate,

che necessitano di capacità logiche che gli algoritmi non

sono in grado di simulare, in poche parole, le attività che

richiedono intuito. Si tratta quindi di attività che la mente

umana affronta basandosi semplicemente sull’istinto e che

un sistema informatico difficilmente potrà mai soppiantare.

Si pensi ad esempio a un panorama complesso in cui è

necessario fare connessioni tra elementi molto diversi fra

loro, come spesso avviene ricercando una minaccia all’in-

terno di una rete. Un aiuto fondamentale può venire dalla

tecnologia, ma alla fine sarà sempre un essere umano ad

unire i punti e chiudere il cerchio.

Oggi che la consapevolezza della consistenza e della pe-

ricolosità delle minacce cyber è stata raggiunta non solo

dagli esperti di sicurezza, ma anche dai vertici delle orga-

nizzazioni, ci si sta rapidamente accorgendo che non ci

può essere alcun meccanismo, per quanto avanzato, che

possa sostituire l’intuito e la capacità di reagire dell’analista.

Tra gli approcci vincenti, emerge il ‘Threat Hunting’, ovvero

la caccia alle minacce cibernetiche, che per essere attuata

necessità di solide basi sia a livello di strumenti che di com-

petenze. La chiave sta nel considerare la Threat Intelligence

l’inizio - e non la fine - del processo, con il fattore abilitante

che rimane sempre la valutazione dinamica del rischio. Il

‘Threat Hunting’ è un processo proattivo di ricerca continua

di minacce persistenti all’interno della propria rete. Per sua

natura, deve essere portato a termine da un analista umano,

ma questo non vuol dire che la tecnologia non debba es-

sere a supporto. Per saperne di più sul Threat Hunting e su

come la tecnologia può accelerare tale processo abbiamo

intervistato Davide Bernardi, Chief Data Scientist di aramis.

Quali sono le caratteristiche di aramis che aiutano nel pro-

cesso di “Threat Hunting”?

Esistono diversi ambiti nei quali la data science in aramis è

in grado di abilitare il processo di “Threat Hunting”, è pos-

sibile identificare tre filoni distinti: le Advanced CyberSec

Analytics, analitiche derivanti dall’esperienza degli analisti

di cyber security, le tecniche di Machine Learning, un mo-

tore d’analisi in grado di estrarre valore direttamente dai

dati senza necessitare di informazioni a priori, e la Threat

Intelligence. Le Advanced Cyber Analytics permettono di

eliminare il rumore di fondo applicando processi puntuali

di esplorazione del dato, consentendo così l’identificazione

di pattern di attacco mediante l’applicazione di tecniche

di data mining. Estraendo tali pattern direttamente dall’e-

sperienza dell’analista e mappandoli attraverso dei modelli

matematici è quindi possibile applicarli in maniera esau-

stiva all’intero flusso dati generato dal network. Il Machine

Learning, applicato all’analisi comportamentale della rete,

permette di avere una visione nuova e diversa rispetto a

quella di un analista. Tale visione deriva non dall’esperienza

umana bensì da informazioni estratte direttamente dalla rete

e dai dati che essa genera. Queste informazioni sono, in-

fatti, in grado di identificare un modello di riferimento della

normalità che può essere utilizzato per evidenziare tutte

quelle situazioni che si discostano da esso e che potenzial-

mente rappresentano un rischio o una minaccia per la rete.

ADVERTORIAL

LA GESTIONE DEL RISCHIO

DIGITALE AI TEMPI

DEL THREAT HUNTING

Machine Learning e analisi dei Segnali Deboli. ARAMIS:

la piattaforma per proteggere dati e sistemi e anticipare i rischi digitali

www.aramissec.com

Davide Bernardi,

Chief Data Scientist di aramis

1 24 25 26 27 28 29 30 31 32 33 34 35 84  FlippingBook