Rilevare gli avvisi autentici dai falsi allarmi

Oggi le aziende devono affrontare minacce informatiche sempre più complesse. Gli hacker sono sempre più in grado di eludere le misure di prevenzione e rilevamento delle infrastrutture di sicurezza nuove e vecchie e sono purtroppo diventati un'amara realtà per i team di sicurezza. La sfida consiste nell'individuare un allarme autentico in una marea di falsi allarmi, ovvero nel trovare un equilibrio tra rischio e frequenza. Secondo lo studio "Security, Operations, Challenges, Priorities and Strategies" di ESG Research, i professionisti dell'IT considerano questo aspetto una delle loro maggiori sfide.

Le nuove tecnologie con elementi di intelligenza artificiale (AI) e apprendimento automatico (ML) supportano il rilevamento di minacce reali e ottimizzano la velocità e la precisione del centro di sicurezza. Nel fare ciò, il software dovrebbe, secondo Logaritmo includono i seguenti elementi:

1. un'analisi olistica delle minacce

Troppe tecnologie di sicurezza diverse che non lavorano insieme si ostacolano a vicenda. Il risultato: gli esperti IT sono sommersi da una marea di informazioni e gli attacchi reali possono essere ascoltati. È quindi importante disporre di un sistema di sicurezza uniforme con un'analisi olistica delle minacce e processi uniformi in grado di utilizzare l'intelligenza artificiale per rilevare in tempo gli attacchi informatici, classificarli e mostrare in modo semplificato dove si verificano, quando e perché. Vengono esaminati l'endpoint, il server, l'applicazione, il dispositivo e l'utente.

2. una piattaforma trasparente

Infine, la tecnologia dovrebbe consentire alle aziende di rilevare le minacce informatiche sia note che sconosciute sull'intera superficie di attacco. I dati devono quindi essere raccolti, modellati e arricchiti su una piattaforma, e sulla loro base devono essere create sofisticate analisi di scenario (tattiche, tecniche, procedure). Il sistema di sicurezza deve rimanere sempre trasparente per consentire agli esperti informatici di effettuare ulteriori analisi comportamentali approfondite. È l'unico modo per rilevare sottili cambiamenti di comportamento che indicano una minaccia potenziale o attuale.

3. ottimizzazione del rapporto tra i falsi allarmi e gli allarmi reali.

La nuova tecnologia deve infine consentire di ottimizzare il rapporto tra falsi allarmi e avvisi reali rispetto al passato. Il rischio e la frequenza devono essere soppesati utilizzando analisi basate sull'intelligenza artificiale e distinguendo in ultima analisi gli avvisi reali da quelli falsi, riducendo i falsi avvisi ma non il numero di attacchi rilevati. I fornitori di sicurezza devono offrire ai loro clienti approcci avanzati e pragmatici con l'obiettivo di alleggerire gli esperti di sicurezza e ridurre i costi senza sacrificare la qualità.

Testo: Ross Brewer, amministratore delegato e vicepresidente EMEA, LogRhythm