Darktrace, la protezione per le aziende basata sull'intelligenza artificiale

Darktrace, la protezione per le aziende basata sull'intelligenza artificiale

Darktrace è un'azienda operante nell'ambito della cybersecurity che vanta la tecnologia di machine learning più avanzata al mondo per la cyber defense. Si ispira all'intelligenza di auto-apprendimento del sistema immunitario umano e funziona automaticamente, senza una pregressa conoscenza e senza appoggiarsi alle classiche firme, rilevando e combattendo in tempo reale gli attacchi.

di pubblicato il nel canale Security
intelligenza artificialeDarktrace
 

Quanto sono efficaci le classiche soluzioni per proteggersi dagli attacchi informatici? Parecchio, a patto di configurare correttamente le varie componenti dell’infrastruttura aziendale e di avere cieca fiducia nei propri dipendenti, ma non abbastanza da fare dormire sonni tranquilli agli amministratori di rete e - soprattutto - alla dirigenza. Per quanto possano essere sofisticati gli antivirus e i firewall, non sempre sono in grado di rilevare tutti i tentativi di intrusione, soprattutto se questi sono portati avanti da attaccanti esperti che investono parecchio tempo e risorse per riuscire a mettere piede nella rete aziendale, magari usando malware che sfruttano l’Intelligenza Artificiale per passare inosservati.  

Darktrace, la soluzione di sicurezza basata su AI che affianca i tradizionali antivirus

Per essere efficaci nel respingere le minacce informatiche è necessario aggiungere alle classiche soluzioni di sicurezza un ulteriore layer di protezione. Darktrace offre alle aziende una piattaforma software basata sull'intelligenza artificiale che tiene costantemente monitorata tutta la rete aziendale e individua minacce anche non rilevate dai comuni anti virus, oltre a dare una fotografia completa di tutte le risorse presenti sulla rete aziendale
I prodotti di Darktrace non sono un’alternativa alle protezioni già implementate, ma le vanno a integrare. L’obiettivo è quello di intercettare quelle minacce che sfuggono ai tradizionali controlli, non bloccare qualsiasi tipo di attacco. Il motivo è abbastanza semplice: la maggior parte delle soluzioni si limita a scansionare la rete alla ricerca di minacce note o di specifiche anomalie ma è incapace di bloccare attacchi sconosciuti. Per esempio quelli dove vengono utilizzate falle 0-day, i bug non documentati che vengono scoperti dagli hacker e custoditi gelosamente per essere usati al momento opportuno, di solito contro bersagli molto appetibili come possono essere le aziende di fascia enterprise. Anche i malware più sofisticati, quelli basati su algoritmi di Intelligenza Artificiale, sono estremamente difficili da scoprire, come sottolinea Max Heinemeyer, Director of Threat Hunting di Darktrace: "Il malware dotato di AI è in grado di effettuare una scansione continua dell'implementazione del cloud di un'azienda fino a individuare una vulnerabilità. Se l’obiettivo è un dispositivo IoT, questo tipo di malware dotato di AI può sfruttare la contestualizzazione per integrarsi con ciò che lo circonda, attendendo apparentemente in modo passivo, mentre impara a emulare il comportamento normale del dispositivo".

Bisogna considerare anche che le classiche soluzioni non sono sempre in grado di impedire gli errori umani che, come abbiamo già avuto modo di specificare qui, rappresentano l’anello più debole della catena, soprattutto quando ci si trova di fronte ad attacchi di spear phishing o whaling particolarmente sofisticati. Gli attaccanti lo sanno bene e continuano a evolvere le loro strategie puntando proprio su questo: indurre in errore un dipendente dell’azienda e nascondere la loro attività all'interno del comune traffico di rete, cercando di mescolarle con l’inevitabile rumore di fondo, così da non destare l’attenzione delle contromisure automatiche o degli amministratori di sistema.

Darktrace _ Panoramica aziendale

Come funziona l’IA di Darktrace Enterprise?

L’approccio di Darktrace all'intelligenza artificiale si basa su algoritmi di machine learning non supervisionati. In soldoni, queste AI non seguono regole codificate, non hanno una classificazione precisa di cosa sia una minaccia o no, ma lo devono dedurre in autonomia, fatto che le rende più efficaci per certi tipi di applicazioni, come quelle relative alla cybersecurity.

Nel caso l’AI individui un comportamento non previsto, nel giro di pochi secondi vengono lanciati avvisi agli amministratori così che possano verificare manualmente la situazione. Appoggiandosi a Darktrace Antigena è possibile lasciare all'intelligenza artificiale la “libertà” di rispondere automaticamente alle minacce.

Darktrace  IA security

Per meglio comprendere come agisce, portiamo l’esempio concreto di un’azienda di telecomunicazione (che ha preferito rimanere anonima). Uno dei dipendenti della telco, contrariamente a quanto previsto dalle policy aziendali, ha controllato una sua mail personale e scaricato un allegato contenente un malware. Pochi secondi dopo, il dispositivo del dipendente si è collegato a un server sulla rete TOR dal quale sono partiti i comandi per criptare i documenti. Gli algoritmi di machine learning hanno immediatamente notato un'anomalia e lanciato un avviso agli amministratori di sistema per verificare l’accaduto. Non ottenendo una risposta (l’attacco è stato sferrato durante un week end, quando gli amministratori erano fuori ufficio), Darktrace ha provveduto a bloccare i tentativi di crittografare ulteriori file. Tempo di reazione? 24 secondi dall'avviso: difficilmente un esperto di sicurezza sarebbe stato in grado di correre ai ripari tanto velocemente, se anche si fosse trovato di fronte alla postazione al momento dell’avviso.

Darktrace Industrial, per proteggere i di controllo industriale

Darktrace Industrial è un prodotto mirato a garantire la sicurezza dei macchinari industriali connessi, per esempio gli ancora diffusissimi sistemi SCADA. Si occupa di monitorare l’intero traffico di rete da e verso questi dispositivi, analizzando i comportamenti di ogni utente, dispositivo o controller, così da comprendere il “normale” funzionamento dell’infrastruttura, indipendentemente dal protocollo utilizzato e avvisare gli amministratori nel caso vengano rilevate attività anomale. Cosa si intende per attività anomale? Può trattarsi di una connessione SSH da un dispositivo che mai si era connesso alla rete, per esempio, o dell’invio di un grande volume di dati tramite il protocollo ICMP. È proprio grazie a questi indizi forniti che è stato possibile di individuare un attacco particolarmente sofisticato per sferrare il quale dei cybercriminali erano riusciti a installare un Mini-PC collegato a uno dei server del data center e occultarlo sotto le assi del pavimento. La minaccia sarebbe probabilmente passata inosservata fino al momento di effettuare dei lavori ma grazie alle continue segnalazioni del sistema di protezione, gli amministratori hanno optato per un’analisi approfondita dei sistemi, finendo poi per scovare il server “pirata”.

Darktrace Cloud e Darktrace SaaS, sicurezza anche per le app sulla nuvola

Un numero sempre maggiori di aziende si appoggiano a servizi cloud come quelli di AWS, Microsoft Azure o Google Cloud. Darktrace Cloud si integra con Darktrace Enterprise ed estende la protezione anche alla della rete aziendale che opera sulla nuvola. L’aspetto più interessante di questa soluzione è che non si limita a respingere gli attacchi informatici ma permette agli amministratori di avere piena visibilità dell’ambiente cloud, aiutandoli a verificare la corretta configurazione di tutte le risorse evitando così di esporre pubblicamente dati riservati a causa di qualche banale errore. Errori che, come abbiamo potuto verificare anche recentemente, non sono poi così rari. Andrew Tsonchev, Director of Technology di Darktrace Industrial spiega che "È probabile che questo nuovo caso di condivisione accidentale delle informazioni degli utenti sia il risultato di un'errata configurazione ed evidenzia ancora una volta la portata delle sfide poste dalla sicurezza del cloud e la mancanza di visibilità delle organizzazioni rispetto alle parti virtuali della propria infrastruttura. Ecco perché le difese informatiche guidate dall'AI sono essenziali per prevenire compromissioni rilevanti: coprendo l’intera ampiezza della rete, sono in grado di vagliare quantità enormi di dati e stringhe di codice, per determinare in modo intelligente se i dati sensibili sono archiviati dove non dovrebbero".

Questo tipo di approccio è possibile anche con applicazioni di public cloud, come Dropbox, Office 365 e Salesforce. È proprio grazie a questo che un cliente di Darktrace ha potuto notare il bizzarro comportamento di uno dei suoi dipendenti, che trasferiva quantità notevoli di dati verso Dropbox. Sebbene quest’ultimo fosse spesso utilizzato nel workflow, il sistema di protezione aveva riscontrato uno scostamento dal normale utilizzo notando che da una postazione venivano caricati su Dropbox 17 GB di dati, un quantitativo anomalo rispetto al classico utilizzo fatto in quella specifica azienda. Avvisati dal sistema, gli amministratori di rete hanno provveduto a verificare quanto stava accadendo e solo a quel punto hanno realizzato che un dipendente stava cercando di trafugare dati sensibili, riuscendo a bloccare in tempo la fuga che, altrimenti, rischiava di passare inosservata.

Uno scenario sempre più complesso

Proteggere i dati e le infrastrutture aziendali sta diventando sempre più difficile, in particolare modo per le aziende più grosse e strutturate. Da un lato gli hacker usano tecniche sempre più sofisticate e difficili da individuare, dall'altro l'estrema complessità delle attuali infrastrutture obbliga a porre estrema attenzione a quanto avviene all'interno dell'azienda. Basta un banale errore di configurazione per lasciare database contenenti dati sensibili esposti su Internet, facilmente accessibili a chiunque. Ma anche nel caso tutto fosse configurato a dovere, c'è sempre la possibilità che un dipendente (o un fornitore poco) poco affidabile tenti di sottrarre informazioni riservate per poi venderle alla concorrenza. L'unico modo per scongiurare queste minacce e quello di monitorare 24/7 quanto accade sulla rete, un compito oneroso e complicato per un essere umano ma che può essere svolto in maniera efficiente da degli algoritmi di machine learning, come quelli che stanno alla base delle soluzioni Darktrace. 

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
LukeIlBello19 Aprile 2019, 14:25 #1

Quante parolone ammericane

Darktrace è un'azienda operante nell'ambito della cybersecurity che vanta la tecnologia di machine learning più avanzata al mondo per la cyber defense

gia un articolo che comincia così mi fa dubitare della bontà del prodotto
come quando sento i capi parlare di "mission", "active team", "call" (telefonata troppo lungo?? ), "security" ecc... ma poi sono sempre i piu scarsi ed incompetenti a parlare ammerigano chissà perchè

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^