Trace Id is missing

La sicurezza è valida solo quanto l'intelligence sulle minacce

Condividi
Uno scudo blu con sopra un lucchetto bianco

Adesso ancora più forte con l'IA

Gli osservatori della cybersecurity di lunga data sanno quanto possa essere frustrante la lotta con il progresso. La nostra professione richiede una vigilanza costante e un lavoro tutt'altro che elusivo. Le cattive notizie sono all'ordine del giorno e riempiono i giornali, ma ci sono comunque delle storie di successo sulla cybersecurity.

Ogni giorno i nostri difensori condividono silenziosamente informazioni. Ogni giorno aumentano il costo del crimine per gli utenti malintenzionati e i loro ampi gruppi criminali. Ogni giorno sfruttano il loro notevole talento e le loro grandi competenze per trovare i criminali più velocemente e bloccarli prima.

L'intelligence sulle minacce (TI) funziona, e la durata degli attacchi degli antagonisti medi continua a scendere. L'attuale livello di 20 giorni rappresenta un cambiamento significativo dal momento che gli utenti malintenzionati potevano nascondersi per mesi senza essere rilevati.

Possiamo ringraziare l'intelligence migliorata per questa differenza. Possiamo ringraziare gli strumenti migliorati. Possiamo ringraziare le risorse migliorate. E quando uniamo tutte queste forze, in particolare l'IT, i dati su larga scala e l'intelligenza artificiale (IA), il nostro impatto come difensori accelera e si amplifica.

I dati rappresentano la vista dei difensori, e la nostra visione non è mai stata migliore di così. La concorrenza cloud ha notevolmente ridotto il costo delle attività per detenere ed eseguire query sui dati, consentendo grandi passi avanti nell'innovazione. I costi ridotti hanno reso possibile la distribuzione di sensori con una risoluzione più elevata nel patrimonio digitale. L'aumento di funzionalità XDR+SIEM ha ampliato dati e segnali dagli endpoint, alle app, alle identità, al cloud.

Più segnali forniscono una superficie di attacco maggiore per l'intelligence sulle minacce, che a sua volta alimenta l'IA. L'intelligence sulle minacce funge da etichette e dati di training per i modelli di intelligenza artificiale che prevedono il prossimo attacco.

Quello che l'intelligence sulle minacce riesce a trovare, l'intelligenza artificiale può ridimensionare.

L'intuizione e l'esperienza dietro un successo dell'intelligenza possono essere modellate digitalmente con milioni di parametri rispetto ai nostri 65 miliardi di segnali.

Microsoft adotta un approccio all'intelligence sulle minacce incentrato sugli antagonisti. Monitoriamo attivamente più di 300 attori di minacce unici, tra cui più di 160 gruppi collegati agli stati-nazione e più di 50 bande di criminali che sfruttano ransomware.

Questo lavoro richiede creatività e innovazione, oltre al contributo di tante figure multidisciplinari. Un'intelligence sulle minacce valida unisce le persone: esperti di cybersecurity e scienziati applicati collaborano con le autorità nell'ambito della geopolitica e della disinformazione per valutare tutti gli antagonisti in modo da comprendere lo scopo di un attacco nel momento in cui si verifica e intuire perché e dove potrebbe continuare a verificarsi.

Report di Security Insider

Per vedere la migliore intelligence sulle minacce in azione, scarica Un anno di guerra ibrida russa in Ucraina.

L'intelligenza artificiale (IA) aiuta ad aumentare le difese tenendo il passo degli attacchi. Grazie all'IA, gli attacchi ransomware con intervento umano possono essere annientati ancora prima, trasformando segnali a bassa confidenza in un sistema di avvisi tempestivi.

Gli investigatori umani mettono insieme i singoli pezzi di un puzzle per rendersi conto che è in corso un attacco. E questo richiede tempo. Ma in situazioni in cui il tempo scarseggia, il processo necessario per stabilire l'intento di un attacco può essere svolto alla velocità dell'IA. L'intelligenza artificiale consente di collegare molte informazioni diverse.

Proprio come gli investigatori umani pensano su più livelli, possiamo combinare tre tipi di input basati sull'IA per trovare gli attacchi ransomware all'inizio dell'escalation.

  • A livello di organizzazione, l'IA impiega un'analisi delle anomalie statistica e basata su serie temporale.
  • A livello di rete, crea un grafico per individuare l'attività dannosa nei dispositivi.
  • A livello di dispositivo, utilizza il monitoraggio del comportamento e l'intelligence sulle minacce per individuare le attività ad alta confidenza.

Ransomware in evidenza: una conversazione con Jessica Payne

La notizia migliore sul ransomware è che si tratta per lo più di una minaccia evitabile. Molti report relativi al ransomware si concentrano sui payload dei ransomware, che possono sembrare una minaccia che cresce in modo esponenziale da parte di decine di criminali; in realtà, si tratta di un sottogruppo di utenti malintenzionati che usano le stesse tecniche ma sfruttano di volta in volta i ransomware disponibili con il payload di un servizio.

Analizzando gli attori dietro gli attacchi e i payload, possiamo dimostrare che la maggior parte degli utenti malintenzionati che distribuiscono ransomware non ha doti magiche né sviluppa exploit zero-day su misura; sfruttano punti deboli della sicurezza comuni.

Molti hacker usano le stesse tecniche, quindi si può vedere dove si sovrappongono le minacce e applicare le relative mitigazioni. Quasi tutti gli attacchi ransomware coinvolgono utenti malintenzionati che ottengono l'accesso a credenziali con privilegi elevati come un amministratore di dominio o un account di sviluppo software; una soluzione a questo problema può essere l'utilizzo di strumenti integrati come i criteri di gruppo, i registri eventi e le regole di riduzione della superficie di attacco (ASR).

In alcune organizzazioni che hanno abilitato regole ASR, si è riscontrata una riduzione del 70% degli incidenti, il che si traduce in un minore sovraccarico per il Centro operazioni per la sicurezza e in un numero di ridotto di utenti malintenzionati che ottengono l'accesso iniziale per indebolire le loro difese. Le organizzazioni che riescono ad annientare i ransomware sono quelle che si concentrano su questo tipo di protezione.

La prevenzione è fondamentale.

Una delle cose che mi piace precisare è che prevenzione e rilevamento non sono la stessa cosa. La prevenzione è il guardiano del rilevamento perché placa la rete e lascia spazio per trovare le cose più importanti.

Tutto sommato, l'intelligence sulle minacce nelle mani giuste fa la differenza nel prevenire un attacco o nell'arrestarlo automaticamente.

Scopri di più su come proteggere l'organizzazione dal ransomware e leggi il report completo.

Un gruppo di persone che camminano su blocchi colorati
In primo piano

Scoprire le minacce informatiche e rafforzare le difese nell'era dell'IA

I passi avanti nell'intelligenza artificiale (IA) presentano nuove minacce (e opportunità) per la cybersecurity. Scopri come gli attori di minacce usano l'IA per condurre attacchi più sofisticati, quindi consulta le procedure consigliate che contribuiscono alla protezione contro minacce informatiche tradizionali e basate sull'IA.
Scopri di più

Stiamo entrando in una nuova era in cui l'IA sta migliorando la sicurezza. L'apprendimento automatico è un luogo comune nelle tecnologie di difesa di oggi. Ma finora l'IA è stata parte integrante della tecnologia. I clienti sfruttavano il suo ruolo nella protezione, ma non erano in grado di interagire direttamente con essa, ed è proprio questo l'aspetto che è cambiato.

Stiamo passando da un mondo di IA basata sulle attività che è in grado di rilevare phishing o password spraying a un mondo di IA generativa basata su modelli che formano i difensori ovunque.

L'intelligence sulle minacce e l'IA collaborano per aiutare i difensori ad agire più velocemente che mai. Non vedo l'ora di scoprire come le sfrutterai. In qualsiasi caso, so che insieme proteggeremo meglio il pianeta.

Articoli correlati

Difesa dell'Ucraina: prime lezioni dalla guerra informatica

Gli ultimi dati sui nostri continui sforzi in materia di intelligence sulle minacce nella guerra tra Russia e Ucraina e una serie di conclusioni dai suoi primi quattro mesi rafforzano l'esigenza di indagini nuove e continue sulla tecnologia, sui dati e sulla partnership per supportare governi, aziende, organizzazioni no profit e università.
Scopri di più

Tre modi per proteggerti dal ransomware

La difesa da ransomware moderni richiede molto più di semplici misure di rilevamento. Scopri i tre modi principali in cui rafforzare la protezione della rete dai ransomware oggi.
Scopri di più

Scopri i fondamenti della ricerca alle minacce

Quando si tratta di cybersecurity bisogna fare attenzione. Ecco come cercare, identificare e attenuare le minacce nuove ed emergenti.
Scopri di più

Segui Microsoft