Darktrace ha rafforzato la propria tecnologia Cyber AI Analyst per renderla in grado di raggruppare in modo intelligente gli incidenti informatici per comprendere al meglio il ciclo di vita anche delle compromissioni più complesse, mentre si sviluppano e si diffondono all’interno del patrimonio digitale dell’azienda.
Nello specifico, il Cyber AI Analyst può ora esaminare un incidente come un’”indagine aperta”, continuando ad aggiungere nuovi dati di supporto all’analisi in corso. Pensate per accrescere le capacità degli analisti grazie a un’indagine continua in grado di far emergere e dare priorità agli incidenti più critici, le indagini aperte del Cyber AI Analyst di Daktrace sono in grado di correlare incidenti tra le varie entità in modo tale che un account SaaS possa essere relazionato alle stesse credenziali compromesse utilizzate su un dispositivo locale. Un processo, questo, molto simile alle indagini penali aperte, in cui una singola prova può permettere di collegare due crimini apparentemente isolati tra loro.
Il patrimonio digitale di un’organizzazione è unico nel suo genere e in continua espansione, per questo motivo è fondamentale che le indagini del Cyber AI Analyst siano personalizzate e a misura dell’ecosistema analizzato, piuttosto che adottare un modello comune con tattiche di indagine pre-programmate.
L’approccio alle indagini on-the-fly dell’AI Analyst permette di cogliere quei dettagli che spesso passano inosservati, ma che si rilevano una prova fondamentale per collegare i diversi elementi compromessi.
Tradizionalmente, gli incidenti informatici di tipologia diversa rimangono separati e isolati tra loro, mentre ora, l’AI Analyst può unirli automaticamente appena scopre una traccia che li collega.
Questo passaggio alle indagini aperte ha permesso ai primi clienti che hanno adottato la nuova soluzione di ottenere una riduzione fino al 63% degli incidenti totali e fino al 92% degli incidenti più critici, diminuendo ulteriormente il “time-to-meaning” e il tempo di triage necessario agli analisti, e permettendo a quest’ultimi di dedicare più tempo ad attività e iniziative maggiormente strategiche.
Oltre a procedere in modo continuo sulla base degli eventi osservati direttamente, le indagini aperte del Cyber AI Analyst possono essere eseguite manualmente dal team di sicurezza o essere attivate automaticamente da un evento di terze parti, come, ad esempio, un allarme lanciato da un’altra soluzione di sicurezza, in modo da convalidare e contestualizzare ulteriormente le proprie rilevazioni e decisioni.
Le indagini completate sono integrate direttamente nell’ecosistema aziendale, per l’utilizzo diretto attraverso l’interfaccia utente di Darktrace e nei report esportabili, o indiretto da parte di strumenti di terze parti come SIEM e sistemi di ticketing.
“Il nostro centro di ricerca Cyber AI – ha dichiarato Tim Bazalgette, Research and Development Product Lead di Darktrace – si è impegnato fortemente nell’identificazione dei metodi più efficaci per collegare attività apparentemente disparate da diverse fonti ed entità, allo scopo di correlare il maggior numero possibile di indicatori di compromissione. Questo approccio trasversale all’individuazione degli incidenti permette il rilevamento automatico delle compromissioni e la determinazione autonoma della loro portata, senza richiedere l’intervento umano. La ricerca, quindi, si è evoluta per permettere di realizzare questi aggiornamenti chiave delle soluzioni Darktrace che rendono la comprensione e l’identificazione degli incidenti più facile per i clienti.”
