Aggiornamenti recenti Settembre 12th, 2024 3:36 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Finto password manager usato per distribuire malware tra gli sviluppatori
- Nuovi attacchi prendono di mira l’industria militare di Taiwan
- ESET scopre NGate, malware per Android che sfrutta l’NFC per clonare le carte di pagamento
- Una vulnerabilità di LiteSpeed Cache di WordPress permette il furto di account
- CERT-AGID 31 agosto – 6 settembre: arriva la terza campagna in un mese che diffonde il malware Vidar
Usare l’IA nei SOC per ridurre il carico di lavoro del team
Con l’aumento costante delle minacce, i team di sicurezza devono affrontare un carico di lavoro molto elevato; il rischio è di non riuscire a rilevare correttamente i cyberattacchi e proteggere quindi la propria organizzazione. I team hanno a che fare in particolare con un gran numero di falsi positivi: secondo il report di analisi MDR di Kaspersky, nel 2023 il team SOC della compagnia ha esaminato 431.512 avvisi di sicurezza, ma solo 32.294 sono stati identificati come risultato di 14.160 incidenti segnalati ai clienti.
Per ridurre il carico di lavoro del team di cybersecurity e migliorare il rilevamento di incidenti, Kaspersky sottolinea l’importanza di affidarsi a soluzioni automatizzate di intelligenza artificiale. In particolare, il modello Autoanalyst basato su IA usato nell’MDR ha esaminato in media quasi il 30% dei falsi positivi nel 2023, riducendo il carico del team SOC di circa il 25%.
Pixabay
L’applicazione più comune dell’IA nella cybersecurity, in particolare del machine learning, è il rilevamento degli attacchi, dove possono essere usati sia l’apprendimento supervisionato che non supervisionato. Nel primo caso, il modello viene addestrato sui dati relativi all’attività degli attaccanti con l’obiettivo di identificare comportamenti dannosi simili; nel secondo caso, il modello profila il comportamento legittimo dei sistemi e servizi per rilevare eventuali anomalie.
“Conoscendo bene l’aspetto degli attacchi moderni e sapendo che il loro rilevamento spesso si traduce in un grande volume di avvisi, i SOC stanno studiando come ridurre il carico di lavoro degli analisti con l’aiuto del ML, come migliorare l’efficienza del triage, filtrando i falsi positivi nel flusso di avvisi generato e spostando le operazioni di automazione dal semplice rilevamento degli attacchi al filtraggio delle attività legittime” ha dichiarato Sergey Soldatov, Head of Security Operation Center di Kaspersky. “La soluzione al problema del filtraggio dei falsi positivi è Autoanalyst basato sull’IA. Questo modello di machine learning supervisionato impara dagli avvisi elaborati dal team SOC e cerca quindi di replicarne il comportamento in modo indipendente“.
Grazie all’IA, Autoanalyst permette di ridurre di almeno un quarto il numero di avvisi che richiedono un’indagine da parte del SOC e gestisce gli alert più comuni e di routine, preservando le risorse del team e consentendogli di concentrarsi sui casi più interessanti.
IA per i SOC: i vantaggi per la tecnologia MDR
Per ridurre al minimo il numero di incidenti non rilevati i team SOC creano un numero crescente di regole di detection, comprese quelle basate su IA. Questo approccio però genera un numero elevato di avvisi che chiedono l’attenzione degli esperti, causa un maggior numero di falsi positivi e riduce la capacità di reazione del sistema di rilevamento.
La sfida è bilanciare la qualità del rilevamento con la trasformazione della logica di rilevamento: da una parte, se si cerca di rilevare tutto, si rischia di essere sommersi dai falsi positivi; dall’altra, con meno falsi positivi, si rischia di perdere alcuni attacchi.
Pixabay
“In generale, è possibile trovare un equilibrio tra questi estremi, ottenendo un rilevamento di alta qualità degli attacchi nascosti e riducendo contemporaneamente il numero di falsi positivi. Uno strumento per ottenere questo “interruttore” è Autoanalyst. Quando aumenta il livello di filtraggio, con una conseguente riduzione del carico di lavoro per il team SOC, cresce la probabilità di errore di classificazione” ha spiegato Soldatov.
Kaspersky evidenzia che, utilizzando Autoanalyst, il margine di errore (ovvero il tasso di falsi positivi) non supera il 2%; ciò significa una riduzione del volume di avvisi, ma non della qualità dei controlli. Nel caso il margine di errore superi il 2% a causa di un “sovraccarico”, il modello viene riqualificato per ridurre nuovamente il tasso di falsi positivi.
Condividi l'articolo
L'APT SideWinder ha attaccato diversi porti nell'Oceano Indiano e nel Mar Mediterraneo
Gli attacchi via e-mail sono aumentati del 293%
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il quishing usato nelle colonnine di ricarica delle auto... Il quishing non è una minaccia nuova, ma negli ultimi... -
Il settore dell’istruzione è tra i principali... Cresce il numero di minacce informatiche contro il settore... -
Proteggersi dal furto di account rendendo più sicuro il... Gli attacchi di furto di account (account takeover) sono... -
Gli italiani si preoccupano dell’eredità digitale... Le identità digitali si moltiplicano e con esse anche le... -
Aumentano gli attacchi alle applicazioni e alle API Il numero di attacchi alle applicazioni e alle API è in...
Minacce recenti
Off topic
-
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:... -
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha...
Post recenti
-
Finto password manager usato per distribuire malware tra... I ricercatori di ReversingLabs hanno identificato alcune... -
Nuovi attacchi prendono di mira l’industria militare... I ricercatori di Trend Micro hanno individuato una serie... -
ESET scopre NGate, malware per Android che sfrutta... I ricercatori di ESET hanno individuato una campagna ai... -
Una vulnerabilità di LiteSpeed Cache di WordPress permette... I ricercatori di Pathstack hanno individuato una nuova... -
CERT-AGID 31 agosto – 6 settembre: arriva la terza... Nell’ultima settimana, il CERT-AGID (Computer...
Ransomware: la serie
No posts found.
