Una nota ai nostri clienti e partner in Medio Oriente
Maggiori informazioni
L'intelligenza artificiale e l'apprendimento automatico (AI/ML) stanno plasmando ogni aspetto della nostra vita più velocemente di quanto riusciamo ad assimilare. Cybersecurity non fa eccezione; anzi, è un esempio lampante di come l'AI/ML possa essere sfruttata sia per l'attacco che per la difesa, diventando essa stessa un bersaglio interessante.
Grazie alla riduzione delle barriere all'ingresso per gli aspiranti criminali informatici, gli attacchi informatici abilitati dall'AI/ML sono in aumento, tra cui phishing, deepfakes e DDoS (Distributed Denials of Service). Il malware polimorfico e le minacce persistenti avanzate (APT) utilizzano l'intelligenza artificiale per generare nuove varianti di malware di successo ed eludere regole e firme.
Dal punto di vista dei difensori, la necessità di analizzare e correlare rapidamente grandi quantità di dati provenienti da decine di fonti rappresenta un caso d'uso privilegiato per l'IA e l'ML. Queste capacità sovrumane stanno accelerando quasi ogni aspetto della difesa informatica, tra cui l'inventario delle risorse e l'intelligence, la definizione di baseline comportamentali, threat detection anomalie e threat detection, la correlazione degli eventi, la prioritizzazione dei rischi e la riduzione del rumore. Insieme, hanno il potenziale per eliminare del tutto la necessità di analisti SOC di livello 1 e altre posizioni junior.
La cybersecurity assistita dall'intelligenza artificiale per gli ambienti industriali sfrutta tutte queste capacità, probabilmente in misura maggiore: c'è più da proteggere e la posta in gioco di un attacco è spesso più alta. Si tratta di sistemi di controllo e processi fisici con migliaia di variabili di processo configurabili, tutte potenzialmente sfruttabili. E ci sono componenti legacy che sono insicuri per progettazione, con possibilità limitate di patch. Senza l'intelligenza artificiale, sarebbe impossibile valutare il volume delle comunicazioni di rete e dei dati delle variabili di processo in una tipica rete industriale, e certamente non abbastanza velocemente da prevenire i danni in caso di rilevamento di una minaccia grave.
Ecco come l'intelligenza artificiale e l'apprendimento automatico vengono utilizzati nella Networks Nozomi Networks per proteggere gli ambienti industriali e le infrastrutture critiche.
Gli ambienti industriali hanno in genere enormi volumi di comunicazione di rete e di dati variabili di processo che costituiscono la loro superficie di attacco. Pur essendo efficiente, il rilevamento basato sulle firme funziona solo per identificare le minacce note (come le CVE documentate) e solo se gli indicatori sono facilmente osservabili e rapidamente identificabili come una potenziale corrispondenza. L'unico modo per rilevare le minacce sconosciute, compresi gli zero-day e le anomalie operative che possono rappresentare un rischio, è analizzare rapidamente i dati raccolti dai sensori in tutto l'ambiente per individuare le deviazioni dalla linea di base.
Quando vengono installati per la prima volta nel vostro ambiente, i sensori di rete Nozomi operano in modalità di apprendimento per scoprire automaticamente la vostra rete industriale in tempo reale, compresi i suoi componenti, le connessioni e la topologia. Monitorando le comunicazioni dei dispositivi fino alle variabili a livello di processo, la piattaforma crea una rappresentazione interna accurata di ogni processo fisico nella rete, identificando ogni fase e la correlazione tra dispositivi di rete, variabili di processo e fasi. Da queste rappresentazioni, crea profili dettagliati del comportamento atteso di ogni dispositivo in ogni fase del processo.
Finora, questo processo di apprendimento consiste esclusivamente nella definizione di un modello di riferimento comportamentale basato sulle osservazioni. LaNetworks Nozomi Networks utilizza anche l'apprendimento adattivo, che integra asset intelligence comportamento noto delle stesse (vedi sotto), al fine di arricchire i profili e ridurre i falsi positivi. Questa combinazione di rilevamento basato sul comportamento, integrata dalle informazioni sul comportamento noto delle risorse, è fondamentale soprattutto per individuare gli exploit zero-day.
La piattaforma utilizza inoltre l'apprendimento dinamico per effettuare un'analisi statistica di controllo del processo della rete ed escludere i comportamenti che superano una deviazione standard, i quali non dovrebbero essere considerati normali. I parametri di apprendimento possono essere configurati manualmente per generare solo gli avvisi realmente necessari a proteggere l'ambiente ed evitare un sovraccarico.
Una volta stabilite le linee di base, la piattaforma passa alla modalità attiva, utilizzando l'euristica e l'analisi comportamentale per monitorare costantemente l'ambiente. Il risultato è un rapido rilevamento delle anomalie, compresi gli attacchi informatici, gli incidenti informatici e le irregolarità delle variabili di processo critiche. Queste informazioni possono essere utilizzate per prevenire, contenere o attenuare le minacce informatiche e gli incidenti di processo prima che si verifichino danni significativi.
Gli avvisi segnalano agli analisti e agli operatori gli eventi e le attività sospette che si discostano dalle linee di base stabilite, filtrando al contempo le attività anomale benigne al di sotto delle soglie stabilite. Ad esempio, se un dispositivo in un processo industriale inizia a perdere 10 pacchetti nel tempo, non è un problema, mentre se lo stesso processo inizia a perdere centinaia di pacchetti, bisogna indagare.
Le reti delle infrastrutture industriali e critiche comprendono solitamente migliaia di OT provenienti da centinaia di fornitori, oltre a IoT , che monitorano e controllano i processi. La creazione di un inventario accurato e aggiornato IoT OT IoT e il loro monitoraggio, insieme alle informazioni contestuali rilevanti, sono fondamentali per garantire la resilienza informatica e operativa, gestire le vulnerabilità e stabilire le priorità nelle misure di mitigazione. Non è possibile farlo manualmente. È necessaria una soluzione automatizzata per l'inventario delle risorse.
La piattaforma Nozomi Networks utilizza una serie di sensori di rete, endpoint, remoti e wireless per rilevare automaticamente le risorse nel momento in cui si connettono alla rete, raccogliendo e convalidando attributi di contesto dettagliati. Quindi li monitora continuamente, osservando i cambiamenti sospetti che potrebbero indicare un incidente informatico o un'anomalia di processo. I profili dei dispositivi OT e IoT ricavati dai sensori vengono ulteriormente arricchiti con ulteriori informazioni dettagliate sugli asset, ricavate dalla nostra Asset Intelligence per fornire un inventario degli asset accurato quasi al 100% e sempre aggiornato.
Il database Nozomi Asset Intelligence sfrutta i dati raccolti da milioni di dispositivi OT, IoT e IT per determinare quando generare avvisi su comportamenti anomali, riducendo la quantità di avvisi causati da comportamenti anomali benigni e sapendo quando "nuovo" o "diverso" non è un rischio. Utilizza gli attributi e i comportamenti visibili nella rete, come gli indirizzi MAC e i protocolli utilizzati dagli asset, e li confronta con i comportamenti e le prestazioni dei dispositivi noti nel database. Quando viene trovata una corrispondenza, gli attributi e i comportamenti del dispositivo noto vengono aggiunti al profilo del dispositivo. Il risultato è una classificazione delle risorse fino al 50-70% più accurata, che contribuisce a semplificare la gestione delle vulnerabilità e a ridurre gli avvisi di falso positivo nell'ambiente.
Il tasso di burnout dei membri dei team dei centri operativi di sicurezza (SOC) è notoriamente elevato, a causa dei pesanti carichi di lavoro, della carenza di personale, dell'automazione limitata e della stanchezza da allerta. La carenza critica di professionisti cybersecurity , soprattutto in specialità come la sicurezza OT , sarebbe terribile se l'AI e il ML non fossero fatti su misura per aiutare i team di sicurezza a fare di più con meno. Automatizzano le lunghe attività di revisione, correlazione e prioritizzazione dei dati di rete, delle risorse e degli avvisi per fornire informazioni significative sulle minacce reali e su come affrontarle. Attività che in precedenza richiedevano una settimana di lavoro a un team di persone possono ora essere gestite da una sola persona al giorno, se non scaricate interamente sull'AI/ML.
Vantage IQ nel motore AI/ML cloudNetworks Nozomi Networks. Le sue reti neurali profonde identificano i modelli di attività nei dati di rete e presentano approfondimenti prioritari basati su avvisi correlati istantaneamente, supportati da informazioni sulla causa principale per indagini semplificate e correzioni efficienti.
IQ Vantage IQ analizza costantemente il vostro ambiente, mettendo in relazione rischi e condizioni per individuare aspetti che probabilmente dovreste approfondire ma per i quali potreste non avere il tempo necessario. Presenta queste informazioni in un elenco aggiornato in tempo reale, ordinato per importanza, senza che nessuno debba scrivere una query. Quando queste informazioni vengono affrontate regolarmente, il risultato è una riduzione del "rumore" nel vostro ambiente causato da modifiche alla configurazione e altri elementi facili da trascurare, ma anche facili da risolvere. Soprattutto per i nuovi analisti, è come avere al proprio fianco un espertoIoT che offre un contesto chiaro e una guida ogni volta che ne avete bisogno. Soprattutto per i nuovi analisti, è come avere al proprio fianco un espertoIoT che offre un contesto chiaro e una guida ogni volta che ne avete bisogno.
