Intelligenza Artificiale” è di sicuro tra le buzzword più gettonate di questo 2018. Soprattutto in ambito tecnologico, ma anche in settori insospettabili, ogni azienda afferma di avere aggiunto ai propri prodotti o servizi funzionalità di IA. Non fanno eccezione le aziende di sicurezza informatica. Difficile trovarne qualcuna che non affermi di avere aggiunto alle proprie applicazioni funzionalità di machine learning, in genere per rilevare minacce non ancora note.

C’è però un’azienda di cyber security per cui la IA non è un’aggiunta recente e magari un po’ posticcia, ma è al cuore della soluzione tecnologica fin dalla sua nascita. Darktrace viene fondata nel 2013 non da esperti di sicurezza IT, ma da matematici e statistici dell’Università di Cambridge che hanno elaborato algoritmi di analisi dei comportamenti. Questi algoritmi hanno trovato nella sicurezza informatica il loro campo di applicazione ideale.

La soluzione Enterprise Immune System di Darktrace non fa alcuna analisi di signature e non utilizza nessuna regola per rilevare e identificare le minacce, ma soltanto sistemi di analisi del comportamento di utenti e dispositivi sulla rete aziendale. Non si tratta quindi di una soluzione in grado di sostituire software e hardware tradizionali come antivirus, anti malware e firewall, ma piuttosto di “un layer di sicurezza aggiuntivo che si integra a quei sistemi completandoli, offrendo uno sguardo globale dello stato della sicurezza del network e preservando i precedenti investimenti aziendali in materia di cybersecurity”, afferma Corrado Broli, Country Manager Italy per Darktrace.

Come funziona l’Enterprise Immune System

Dopo un periodo di apprendimento su quello che deve considerare il comportamento normale degli utenti e dispositivi del network, Enterprise Immune System analizza il traffico di rete alla ricerca di anomalie in termini di luoghi e orari di collegamento, server contattati, tipo e volume di dati scambiati. Visto che il sistema non agisce sul perimetro o su signature, è in grado di rilevare anche le minacce che sono già presenti in azienda, magari da molto tempo (mediamente, per attacchi di tipo avanzato, l’attaccante viene rilevato 230 giorni dopo il primo contatto).

Non necessitando di agenti installati sul singolo nodo, queste analisi possono essere compiute anche su dispositivi di tipo IoT che non si possono proteggere in altro modo (notevole il caso dell’attacco informatico a un casinò americano, rilevato da Darktrace, ed effettuato usando come testa di ponte il… termometro smart dell’acquario).

Una volta che la minaccia è stata rilevata, viene inviato un allarme agli operatori competenti per approfondire il problema, anche attraverso l’integrazione con gli strumenti SIEM (Security Information and Event Management). Ricevuto l’allarme, l’operatore può controllare la sequenza degli eventi, osservando l’andamento del traffico di rete su una mappa tridimensionale che mostra i meta-dati e gli eventi rilevanti, andando anche a ritroso nel tempo semplicemente spostando un cursore, fino a comprendere l’origine della minaccia, gli spostamenti laterali effettuati, l’attacco vero e proprio e l’eventuale esfiltrazione dei dati.

Qualora fosse necessaria una risposta più veloce di quanto l’analisi e l’intervento umani possano effettuare, il software complementare Darktrace Antigena può mettere in atto contromisure automatiche, valutando in base alla gravità dell’evento se isolare completamente il dispositivo dal comportamento sospetto, confinarlo una sotto-rete a basso rischio o limitarne la banda di collegamento per limitare i danni in attesa di una decisione più oculata.

L’offerta Darktrace

È possibile adottare Darktrace direttamente o rivolgendosi ai partner a valore aggiunto, da piccole organizzazioni di consulenza con solide competenze di intelligence e preparazione specifica nella security, ai tradizionali VAR e System Integrator, che possono fungere da Managed Security Service Provider e Security Operation Center, superando sia il problema dell’investimento hardware e software, sia quello della necessità di istituire un SOC interno con turnazione 24/7/365.

Un aspetto molto interessante dell’offerta di Darktrace è rappresentato dalla possibilità di attivare una prova gratuita per un mese, permettendo quindi di fare un assessment della situazione attuale della propria azienda.

Andrea Grassi
Editor di Computerworld e CIO Italia, ha passato gli ultimi 20 anni a raccontare lo sviluppo della tecnologia e di internet senza perdere la passione per questi argomenti. Scrivigli su andrea.grassi@cwi.it o seguilo sui social network con i pulsanti qui sotto.
WHITEPAPER GRATUITI