L'intelligenza artificiale e l'apprendimento automatico (AI/ML) stanno plasmando ogni aspetto della nostra vita più velocemente di quanto riusciamo ad assimilare. Cybersecurity non fa eccezione; anzi, è un esempio lampante di come l'AI/ML possa essere sfruttata sia per l'attacco che per la difesa, diventando essa stessa un bersaglio interessante.
Grazie alla riduzione delle barriere all'ingresso per gli aspiranti criminali informatici, gli attacchi informatici abilitati dall'AI/ML sono in aumento, tra cui phishing, deepfakes e DDoS (Distributed Denials of Service). Il malware polimorfico e le minacce persistenti avanzate (APT) utilizzano l'intelligenza artificiale per generare nuove varianti di malware di successo ed eludere regole e firme.
Per quanto riguarda i difensori, la necessità di analizzare e correlare rapidamente grandi quantità di dati provenienti da decine di fonti rappresenta un caso d'uso privilegiato per l'IA e il ML. Queste capacità sovrumane stanno accelerando quasi tutti gli aspetti della difesa informatica, tra cui l'inventario e l'intelligence delle risorse, il baselining dei comportamenti, il rilevamento di anomalie e minacce, la correlazione degli eventi, la prioritizzazione dei rischi e la riduzione del rumore. Insieme hanno il potenziale per eliminare del tutto la necessità di analisti SOC di livello 1 e altre posizioni junior.
La cybersecurity assistita dall'intelligenza artificiale per gli ambienti industriali sfrutta tutte queste capacità, probabilmente in misura maggiore: c'è più da proteggere e la posta in gioco di un attacco è spesso più alta. Si tratta di sistemi di controllo e processi fisici con migliaia di variabili di processo configurabili, tutte potenzialmente sfruttabili. E ci sono componenti legacy che sono insicuri per progettazione, con possibilità limitate di patch. Senza l'intelligenza artificiale, sarebbe impossibile valutare il volume delle comunicazioni di rete e dei dati delle variabili di processo in una tipica rete industriale, e certamente non abbastanza velocemente da prevenire i danni in caso di rilevamento di una minaccia grave.
Ecco come l'AI e il ML vengono sfruttati nella piattaforma di Nozomi Networks per proteggere gli ambienti industriali e le infrastrutture critiche.
Gli ambienti industriali hanno in genere enormi volumi di comunicazione di rete e di dati variabili di processo che costituiscono la loro superficie di attacco. Pur essendo efficiente, il rilevamento basato sulle firme funziona solo per identificare le minacce note (come le CVE documentate) e solo se gli indicatori sono facilmente osservabili e rapidamente identificabili come una potenziale corrispondenza. L'unico modo per rilevare le minacce sconosciute, compresi gli zero-day e le anomalie operative che possono rappresentare un rischio, è analizzare rapidamente i dati raccolti dai sensori in tutto l'ambiente per individuare le deviazioni dalla linea di base.
Quando vengono installati per la prima volta nel vostro ambiente, i sensori di rete Nozomi operano in modalità di apprendimento per scoprire automaticamente la vostra rete industriale in tempo reale, compresi i suoi componenti, le connessioni e la topologia. Monitorando le comunicazioni dei dispositivi fino alle variabili a livello di processo, la piattaforma crea una rappresentazione interna accurata di ogni processo fisico nella rete, identificando ogni fase e la correlazione tra dispositivi di rete, variabili di processo e fasi. Da queste rappresentazioni, crea profili dettagliati del comportamento atteso di ogni dispositivo in ogni fase del processo.
Finora, questo processo di apprendimento è un puro baselining comportamentale basato sulle osservazioni. La piattaforma Nozomi Networks impiega anche l'apprendimento adattivo, che aggiunge asset intelligence che descrivono il comportamento noto delle risorse (vedi sotto), per arricchire i profili e ridurre i falsi positivi. Questa combinazione di rilevamento basato sul comportamento e informato dal comportamento noto delle risorse è essenziale per rilevare in particolare gli exploit zero-day.
La piattaforma utilizza anche l'apprendimento dinamico per condurre un'analisi statistica di controllo del processo della rete e scartare i comportamenti oltre una deviazione standard, che non dovrebbero essere considerati normali. I parametri di apprendimento possono essere configurati manualmente per generare solo gli avvisi realmente necessari per salvaguardare l'ambiente ed evitare il sovraccarico.
Una volta stabilite le linee di base, la piattaforma passa alla modalità attiva, utilizzando l'euristica e l'analisi comportamentale per monitorare costantemente l'ambiente. Il risultato è un rapido rilevamento delle anomalie, compresi gli attacchi informatici, gli incidenti informatici e le irregolarità delle variabili di processo critiche. Queste informazioni possono essere utilizzate per prevenire, contenere o attenuare le minacce informatiche e gli incidenti di processo prima che si verifichino danni significativi.
Gli avvisi segnalano agli analisti e agli operatori gli eventi e le attività sospette che si discostano dalle linee di base stabilite, filtrando al contempo le attività anomale benigne al di sotto delle soglie stabilite. Ad esempio, se un dispositivo in un processo industriale inizia a perdere 10 pacchetti nel tempo, non è un problema, mentre se lo stesso processo inizia a perdere centinaia di pacchetti, bisogna indagare.
Le reti industriali e di infrastrutture critiche contengono tipicamente migliaia di dispositivi OT di centinaia di fornitori, oltre a dispositivi IoT , che monitorano e controllano i processi. Creare un inventario accurato e aggiornato delle risorse OT e IoT e tenerne traccia, insieme a importanti informazioni di contesto, è fondamentale per mantenere la resilienza informatica e operativa, gestire le vulnerabilità e stabilire le priorità di mitigazione. Non può essere fatto manualmente. È necessaria una soluzione di gestione degli asset automatizzata.
La piattaforma Nozomi Networks utilizza una serie di sensori di rete, endpoint, remoti e wireless per rilevare automaticamente le risorse nel momento in cui si connettono alla rete, raccogliendo e convalidando attributi di contesto dettagliati. Quindi li monitora continuamente, osservando i cambiamenti sospetti che potrebbero indicare un incidente informatico o un'anomalia di processo. I profili dei dispositivi OT e IoT ricavati dai sensori vengono ulteriormente arricchiti con ulteriori informazioni dettagliate sugli asset, ricavate dalla nostra Asset Intelligence per fornire un inventario degli asset accurato quasi al 100% e sempre aggiornato.
Il database Nozomi Asset Intelligence sfrutta i dati raccolti da milioni di dispositivi OT, IoT e IT per determinare quando generare avvisi su comportamenti anomali, riducendo la quantità di avvisi causati da comportamenti anomali benigni e sapendo quando "nuovo" o "diverso" non è un rischio. Utilizza gli attributi e i comportamenti visibili nella rete, come gli indirizzi MAC e i protocolli utilizzati dagli asset, e li confronta con i comportamenti e le prestazioni dei dispositivi noti nel database. Quando viene trovata una corrispondenza, gli attributi e i comportamenti del dispositivo noto vengono aggiunti al profilo del dispositivo. Il risultato è una classificazione delle risorse fino al 50-70% più accurata, che contribuisce a semplificare la gestione delle vulnerabilità e a ridurre gli avvisi di falso positivo nell'ambiente.
Il tasso di burnout dei membri dei team dei centri operativi di sicurezza (SOC) è notoriamente elevato, a causa dei pesanti carichi di lavoro, della carenza di personale, dell'automazione limitata e della stanchezza da allerta. La carenza critica di professionisti cybersecurity , soprattutto in specialità come la sicurezza OT , sarebbe terribile se l'AI e il ML non fossero fatti su misura per aiutare i team di sicurezza a fare di più con meno. Automatizzano le lunghe attività di revisione, correlazione e prioritizzazione dei dati di rete, delle risorse e degli avvisi per fornire informazioni significative sulle minacce reali e su come affrontarle. Attività che in precedenza richiedevano una settimana di lavoro a un team di persone possono ora essere gestite da una sola persona al giorno, se non scaricate interamente sull'AI/ML.
Vantage IQ nel motore AI/ML cloud di Nozomi Networks. Le sue reti neurali profonde identificano gli schemi di attività nei dati di rete e presentano approfondimenti prioritari basati su avvisi immediatamente correlati, supportati da informazioni sulla causa principale per un'indagine semplificata e un'efficiente riparazione.
Il motore di Vantage IQ analizza continuamente il vostro ambiente, mettendo in relazione rischi e condizioni per far emergere gli aspetti che probabilmente dovreste indagare ma per i quali potreste non avere il tempo di farlo. Presenta queste informazioni in un elenco costantemente aggiornato, con priorità in base all'importanza, senza che nessuno debba scrivere una query. Quando queste intuizioni vengono affrontate regolarmente, il risultato è una riduzione del rumore nell'ambiente derivante dalle modifiche alla configurazione e da altri elementi facili da trascurare, ma anche da risolvere.
L'intelligenza artificiale e l'apprendimento automatico (AI/ML) stanno plasmando ogni aspetto della nostra vita più velocemente di quanto riusciamo ad assimilare. Cybersecurity non fa eccezione; anzi, è un esempio lampante di come l'AI/ML possa essere sfruttata sia per l'attacco che per la difesa, diventando essa stessa un bersaglio interessante.
Grazie alla riduzione delle barriere all'ingresso per gli aspiranti criminali informatici, gli attacchi informatici abilitati dall'AI/ML sono in aumento, tra cui phishing, deepfakes e DDoS (Distributed Denials of Service). Il malware polimorfico e le minacce persistenti avanzate (APT) utilizzano l'intelligenza artificiale per generare nuove varianti di malware di successo ed eludere regole e firme.
Per quanto riguarda i difensori, la necessità di analizzare e correlare rapidamente grandi quantità di dati provenienti da decine di fonti rappresenta un caso d'uso privilegiato per l'IA e il ML. Queste capacità sovrumane stanno accelerando quasi tutti gli aspetti della difesa informatica, tra cui l'inventario e l'intelligence delle risorse, il baselining dei comportamenti, il rilevamento di anomalie e minacce, la correlazione degli eventi, la prioritizzazione dei rischi e la riduzione del rumore. Insieme hanno il potenziale per eliminare del tutto la necessità di analisti SOC di livello 1 e altre posizioni junior.
La cybersecurity assistita dall'intelligenza artificiale per gli ambienti industriali sfrutta tutte queste capacità, probabilmente in misura maggiore: c'è più da proteggere e la posta in gioco di un attacco è spesso più alta. Si tratta di sistemi di controllo e processi fisici con migliaia di variabili di processo configurabili, tutte potenzialmente sfruttabili. E ci sono componenti legacy che sono insicuri per progettazione, con possibilità limitate di patch. Senza l'intelligenza artificiale, sarebbe impossibile valutare il volume delle comunicazioni di rete e dei dati delle variabili di processo in una tipica rete industriale, e certamente non abbastanza velocemente da prevenire i danni in caso di rilevamento di una minaccia grave.
Ecco come l'AI e il ML vengono sfruttati nella piattaforma di Nozomi Networks per proteggere gli ambienti industriali e le infrastrutture critiche.
Gli ambienti industriali hanno in genere enormi volumi di comunicazione di rete e di dati variabili di processo che costituiscono la loro superficie di attacco. Pur essendo efficiente, il rilevamento basato sulle firme funziona solo per identificare le minacce note (come le CVE documentate) e solo se gli indicatori sono facilmente osservabili e rapidamente identificabili come una potenziale corrispondenza. L'unico modo per rilevare le minacce sconosciute, compresi gli zero-day e le anomalie operative che possono rappresentare un rischio, è analizzare rapidamente i dati raccolti dai sensori in tutto l'ambiente per individuare le deviazioni dalla linea di base.
Quando vengono installati per la prima volta nel vostro ambiente, i sensori di rete Nozomi operano in modalità di apprendimento per scoprire automaticamente la vostra rete industriale in tempo reale, compresi i suoi componenti, le connessioni e la topologia. Monitorando le comunicazioni dei dispositivi fino alle variabili a livello di processo, la piattaforma crea una rappresentazione interna accurata di ogni processo fisico nella rete, identificando ogni fase e la correlazione tra dispositivi di rete, variabili di processo e fasi. Da queste rappresentazioni, crea profili dettagliati del comportamento atteso di ogni dispositivo in ogni fase del processo.
Finora, questo processo di apprendimento è un puro baselining comportamentale basato sulle osservazioni. La piattaforma Nozomi Networks impiega anche l'apprendimento adattivo, che aggiunge asset intelligence che descrivono il comportamento noto delle risorse (vedi sotto), per arricchire i profili e ridurre i falsi positivi. Questa combinazione di rilevamento basato sul comportamento e informato dal comportamento noto delle risorse è essenziale per rilevare in particolare gli exploit zero-day.
La piattaforma utilizza anche l'apprendimento dinamico per condurre un'analisi statistica di controllo del processo della rete e scartare i comportamenti oltre una deviazione standard, che non dovrebbero essere considerati normali. I parametri di apprendimento possono essere configurati manualmente per generare solo gli avvisi realmente necessari per salvaguardare l'ambiente ed evitare il sovraccarico.
Una volta stabilite le linee di base, la piattaforma passa alla modalità attiva, utilizzando l'euristica e l'analisi comportamentale per monitorare costantemente l'ambiente. Il risultato è un rapido rilevamento delle anomalie, compresi gli attacchi informatici, gli incidenti informatici e le irregolarità delle variabili di processo critiche. Queste informazioni possono essere utilizzate per prevenire, contenere o attenuare le minacce informatiche e gli incidenti di processo prima che si verifichino danni significativi.
Gli avvisi segnalano agli analisti e agli operatori gli eventi e le attività sospette che si discostano dalle linee di base stabilite, filtrando al contempo le attività anomale benigne al di sotto delle soglie stabilite. Ad esempio, se un dispositivo in un processo industriale inizia a perdere 10 pacchetti nel tempo, non è un problema, mentre se lo stesso processo inizia a perdere centinaia di pacchetti, bisogna indagare.
Le reti industriali e di infrastrutture critiche contengono tipicamente migliaia di dispositivi OT di centinaia di fornitori, oltre a dispositivi IoT , che monitorano e controllano i processi. Creare un inventario accurato e aggiornato delle risorse OT e IoT e tenerne traccia, insieme a importanti informazioni di contesto, è fondamentale per mantenere la resilienza informatica e operativa, gestire le vulnerabilità e stabilire le priorità di mitigazione. Non può essere fatto manualmente. È necessaria una soluzione di gestione degli asset automatizzata.
La piattaforma Nozomi Networks utilizza una serie di sensori di rete, endpoint, remoti e wireless per rilevare automaticamente le risorse nel momento in cui si connettono alla rete, raccogliendo e convalidando attributi di contesto dettagliati. Quindi li monitora continuamente, osservando i cambiamenti sospetti che potrebbero indicare un incidente informatico o un'anomalia di processo. I profili dei dispositivi OT e IoT ricavati dai sensori vengono ulteriormente arricchiti con ulteriori informazioni dettagliate sugli asset, ricavate dalla nostra Asset Intelligence per fornire un inventario degli asset accurato quasi al 100% e sempre aggiornato.
Il database Nozomi Asset Intelligence sfrutta i dati raccolti da milioni di dispositivi OT, IoT e IT per determinare quando generare avvisi su comportamenti anomali, riducendo la quantità di avvisi causati da comportamenti anomali benigni e sapendo quando "nuovo" o "diverso" non è un rischio. Utilizza gli attributi e i comportamenti visibili nella rete, come gli indirizzi MAC e i protocolli utilizzati dagli asset, e li confronta con i comportamenti e le prestazioni dei dispositivi noti nel database. Quando viene trovata una corrispondenza, gli attributi e i comportamenti del dispositivo noto vengono aggiunti al profilo del dispositivo. Il risultato è una classificazione delle risorse fino al 50-70% più accurata, che contribuisce a semplificare la gestione delle vulnerabilità e a ridurre gli avvisi di falso positivo nell'ambiente.
Il tasso di burnout dei membri dei team dei centri operativi di sicurezza (SOC) è notoriamente elevato, a causa dei pesanti carichi di lavoro, della carenza di personale, dell'automazione limitata e della stanchezza da allerta. La carenza critica di professionisti cybersecurity , soprattutto in specialità come la sicurezza OT , sarebbe terribile se l'AI e il ML non fossero fatti su misura per aiutare i team di sicurezza a fare di più con meno. Automatizzano le lunghe attività di revisione, correlazione e prioritizzazione dei dati di rete, delle risorse e degli avvisi per fornire informazioni significative sulle minacce reali e su come affrontarle. Attività che in precedenza richiedevano una settimana di lavoro a un team di persone possono ora essere gestite da una sola persona al giorno, se non scaricate interamente sull'AI/ML.
Vantage IQ nel motore AI/ML cloud di Nozomi Networks. Le sue reti neurali profonde identificano gli schemi di attività nei dati di rete e presentano approfondimenti prioritari basati su avvisi immediatamente correlati, supportati da informazioni sulla causa principale per un'indagine semplificata e un'efficiente riparazione.
Il motore di Vantage IQ analizza continuamente il vostro ambiente, mettendo in relazione rischi e condizioni per far emergere gli aspetti che probabilmente dovreste indagare ma per i quali potreste non avere il tempo di farlo. Presenta queste informazioni in un elenco costantemente aggiornato, con priorità in base all'importanza, senza che nessuno debba scrivere una query. Quando queste intuizioni vengono affrontate regolarmente, il risultato è una riduzione del rumore nell'ambiente derivante dalle modifiche alla configurazione e da altri elementi facili da trascurare, ma anche da risolvere.