L’intelligenza artificiale applicata alla cybersecurity offre benefici importanti in termini di visibilità sulle infrastrutture, rilevamento tempestivo delle minacce, possibilità di un approccio proattivo. Vectra AI, la piattaforma di detection & response per ambienti ibridi, ha cavalcato il trend, guadagnando la fiducia di molte imprese italiane, tra cui Maire, gruppo multinazionale specializzato in tecnologie sostenibili e servizi ingegneristici per la transizione energetica.
Lo scenario attuale della cybersecurity
Introducendo il caso utente, Massimiliano Galvagna, Country Manager Italia di Vectra AI, aggiunge qualche dettaglio sulla soluzione, sulla strategia aziendale e sullo scenario cibernetico. “Vectra AI – racconta – opera nel mercato dell’artificial intelligence da oltre 12 anni ed è presente in Italia da circa due anni a mezzo. Sviluppiamo una tecnologia che permette di rilevare velocemente gli attacchi in corso, subito dopo la prima compromissione. Ciò rappresenta un fattore distintivo rispetto alle soluzioni tradizionali, più focalizzate sulla prevenzione”.
La capacità di detection infatti si rileva decisiva per qualsiasi azienda, considerando lo scenario allarmante. “Stiamo osservando – riprende Galvagna – un aumento delle tipologie di attacco, con un focus verso gli ambienti ibridi, più complessi da gestire dal punto di vista della sicurezza. Sono in crescita gli attacchi alle identità tramite varie metodologie, dal social engineering alle tecniche che sfruttano le vulnerabilità, anche di tipo zero-day. Entrare in possesso delle credenziali infatti è tra i metodi più efficaci per esfiltrare informazioni o eseguire movimenti laterali”. Ad aggravare la situazione, gli attaccanti possono attingere ai dati di accesso legati non solo all’utente, ma anche ai servizi: così il numero dei furti lievita.
Il country manager italiano porta l’attenzione su due altri fenomeni: i ransomware, che sono in costante aumento e rappresentano un mal di pancia per molte aziende, e gli insider, ovvero gli utenti interni che agiscono contro l’organizzazione e sono difficili da controllare soprattutto se lavorano da remoto.
I vantaggi dell’AI nelle attività di detection
“Considerando gli scenari descritti – sottolinea Galvagna – è naturale pensare al contributo dell’AI, che permette di accelerare l’analisi di una mole di informazioni estremamente alta. In pochi istanti o minuti, ad esempio, gli algoritmi possono rilevare l’attività sospetta di un lavoratore da remoto oppure un attacco ransomware, garantendo evidenze immediate anche in ambienti ibridi e distribuiti. Negli ultimi anni Vectra AI ha trovato un terreno fertile anche nel nostro Paese, coprendo dalle Pmi alle grandi imprese pubbliche e private, con una crescita di oltre il 100% rispetto all’anno precedente”.
Tra i settori di punta del mercato italiano, il country manager cita Manufacturing, Telco ed Energy, ma sopratutto Finance, infrastrutture critiche e Difesa. “La nostra tecnologia – puntualizza – ha la peculiarità di lavorare al 100% on-premise senza necessità di collegarsi a Internet, mentre la maggioranza delle soluzioni dei competitor deve inviare le informazioni sul cloud per l’elaborazione. Tra i differenziali, la nostra piattaforma permette elaborazioni in near real-time e l’integrazione bidirezionale con le altre componenti in uso dal cliente. Ultimo tratto distintivo, Vectra AI permette di eseguire un’analisi comportamentale del traffico cifrato senza effettuare la decription, aggirando così problemi tecnici o legati alla compliance e alla privacy dell’utente”.
Maire rivoluziona l’approccio alla sicurezza
A raccontare come funziona concretamente la tecnologia di Vectra AI è Andrea Licciardi, Cybersecurity Manager di Maire, nonché co-founder di Cisos4AI, un collettivo di professionisti che promuove l’intelligenza artificiale come strumento fondamentale per la sicurezza.
“Abbiamo effettuato un’analisi interna – esordisce – notando che il mercato della cybersecurity è in continua crescita. Tuttavia gli investimenti non si traducono in riduzione del numero di incidenti. Secondo IBM le aziende impiegano mediamente 277 giorni per identificare e contenere una violazione”.
Insomma, mettere semplicemente tecnologia non significa ristringere la superficie e le probabilità di attacco, perché, come sostiene Licciardi, mancano controlli adeguati e una visione globale.
“Maire – prosegue – è un’organizzazione cloud-oriented: tra il 2006 e il 2018 abbiamo completato la migrazione totale dei sistemi aziendali sulla nuvola, abilitando anche lo smartworking. Abbiamo quindi cambiato approccio alla cybersecurity, valutando non il rischio tecnologico ma di business. Da qui abbiamo implementato il Cyber Fusion Center, ovvero un Hyper SOC, dove vengono raccolti, analizzati e gestiti centralmente i dati relativi agli eventi di sicurezza, con componenti di orchestrazione, automazione, cyber threat intelligence contestualizzata. Così abbiamo trasformato il modello, da reattivo a proattivo”.
L’AI nella gestione della cybersecurity aziendale
Il Cyber Fusion Center ha ottimizzato l’integrazione dell’AI nella gestione della sicurezza aziendale, consentendo a Maire di ottenere una serie di risultati significativi: la possibilità di sfruttare l’analisi predittiva per il rilevamento delle minacce; l’automazione totale o parziale delle risposte agli incidenti; l’adattamento continuo ai nuovi scenari cyber grazie alle funzionalità di machine learning; la prevenzione proattiva che permette di rilevare le minacce potenziali prima che si concretizzino.
“Grazie all’intelligenza artificiale – sottolinea Licciardi – siamo in grado di identificare, valutare e contestualizzare l’incidente in pochi minuti quando prima occorrevano ore, con la possibilità di attivare rapidamente le azioni di contenimento. L’automazione delle risposte ci ha permesso di liberare professionisti da impiegare sugli eventi che richiedono intervento umano”.
Vectra AI a completamento del Cyber Fusion Center
Tuttavia, quando Maire ha deciso di implementare il Cyber Fusion Center, erano emerse alcune criticità nella gestione della sicurezza. Come evidenzia Licciardi, mancavano strumenti specializzati per la rilevazione degli attacchi di rete e si evidenziava l’incapacità di adeguarsi rapidamente alle minacce in evoluzione. Pertanto, si ricercava una soluzione NDR (Network Detection & Response) che potenziasse le capacità di identificazione e risposta agli attacchi di rete, garantendo l’integrazione armonica con lo stack di sicurezza esistente.
“Abbiamo effettuato – evidenzia Licciardi – una valutazione comparativa delle soluzioni NDR, eseguendo in parallelo dei penetration test per misurare l’efficacia e l’interoperabilità di ciascuna tecnologia. Tra le diverse opzioni, Vectra AI ha dimostrato una migliore capacità di soddisfare le nostre esigenze, fornendo velocità e precisione nel rilevare le minacce nonché la piena integrazione con la triade SOC (ovvero l’insieme delle soluzioni che garantiscono visibilità su rete, endpoint e utenti, ndr), garantendo una visione olistica e un’azione sinergica”.
Rilevamento delle minacce più rapido e preciso
Secondo il Cybersecurity Manager, la scelta di Vectra AI ha permesso a Maire di migliorare la postura di sicurezza aziendale rispetto agli attacchi di rete e di ottimizzare gli allarmi, riducendo il numero di falsi positivi e concentrando il lavoro degli analisti solo su emergenze reali. Grazie alla maggiore precisione, è stata così ridotta la quantità di servizi accessori, ottenendo risparmi economici. Inoltre, grazie all’interoperabilità tecnologica con soluzioni di analisi pre-esistenti sia on-premise sia in cloud, è stato possibile intercettare più rapidamente anomalie e minacce sofisticate, anche provenienti dagli insider.
“Integrata nel nostro Cyber Fusion Center – asserisce Licciardi – Vectra AI ha fornito valore aggiunto nell’identificare le minacce che precedentemente, con lo stack tecnologico originario, non erano visibili nel nostro contesto”.
Cybersecurity come abilitatore di business per il futuro
Come spiega il Cybersecurity Manager, la soluzione si inserisce perfettamente nella filosofia di Maire, che vede nella sicurezza un abilitatore di business, un fattore competitivo a garanzia degli stakeholder.
“La maggioranza delle aziende – prosegue – adotta un approccio alla sicurezza SIEM-centrico: l’analisi delle minacce è unificata, ma le azioni vengono gestite sulle singole piattaforme, aumentando l’effort. Noi abbiamo optato per un’architettura mesh, dotata di una dashboard business-oriented e di tecnologie che lavorano sinergicamente”.
L’approccio innovativo di Maire rappresenta una direttrice anche per il futuro: come dichiara Licciardi, sono già in corso le prime sperimentazioni con l’AI generativa, soprattutto per capire come perseguire il corretto addestramento dei modelli evitando i bias. “La cybersecurity – conclude Licciardi – è un modello che vogliamo continuare a evolvere nel tempo, adattandoci contestualmente alle trasformazioni del mercato delle minacce”.
