I continui investimenti in ricerca e sviluppo di CYBEROO hanno reso possibile il rilascio di importanti aggiornamenti per il modulo Cypeer, con l’implementazione di tecnologie avanzate di Adaptive AI e Machine Learning che consentono di migliorare l’analisi e fortificare le attività di sicurezza.
Cypeer: gestione della sicurezza interna
Cypeer ha lo scopo di recuperare da tutte le fonti disponibili presso il Cliente, informazioni e allarmi al fine di correlare tali dati e di fornire agli analisti una visione d’insieme atta ad una rapida ed efficacie risposta alle minacce. Poiché sistemi eterogenei, di vari produttori, forniscono una visione differenziata e non univoca del rischio associato agli eventi che generano, Cypeer è stato ideato per fornire una propria interpretazione di tale rischio. L’aggiornamento presentato in questo articolo si pone l’obiettivo di affinare ulteriormente la capacità di Cypeer di fornire un livello di rischio degli eventi correlati aggiungendo, tra le altre cose, una componente di intelligenza artificiale adattiva.
IA & Machine Learning proattivo per una migliore prioritizzazione
L’aggiornamento di Cypeer si pone i seguenti obiettivi:
- Abbattimento dei falsi positivi tramite analisi comportamentale
- Maggiore adattabilità e adesione al contesto del cliente
- Maggior dettaglio dello scenario e del contesto del caso in analisi
Severity dinamica per migliorare la qualità degli allarmi
Fino ad oggi il livello di rischio degli allarmi era dato da una soglia fissa fornita dagli analisti (i CyberArchitect) che avevano definito l’allarme. Ad oggi non è più così. È stata implementata la Severity Dinamica. Questa feature si applica a qualunque prodotto da noi integrato. L’allarme eredita direttamente in prima istanza il livello di rischio fornito dalla sorgente dalla quale lo ha elaborato. Vediamo un paio di esempi:
- Se un Firewall ci manda un allarme di livello Alto, anche se coincide con un nostro allarme di livello differente, viene ora categorizzato come Alto.
- Se la fonte del dato ha bloccato l’evento, Cypeer abbassa automaticamente il livello di rischio di un livello in una scala da basso a critico (basso, medio, alto, critico), al contrario, lo mantiene com’è.
Severity dinamica: un nuovo modulo di Machine Learning al servizio
Per lo stesso allarme, dopo questa prima fase di riconoscimento della Severity Dinamica, si attiva un modulo di Machine Learning (ML) proattivo, che è in grado di decidere se abbassare o aumentare il livello di rischio. Vediamo un paio di esempi:
Esempio 1: tentativi falliti
Se viene osservato un BruteForce, ma l’incidenza del numero di tentativi falliti non è elevatissima (50 tentativi ad esempio), il ML abbassa il livello di rischio. Al contrario, lo alza. Se però analizzando un’entità dell’allarme – come, ad esempio, l’utente – viene confermato che l’utente è un utente amministratore, il ML alza il livello di rischio. Le analisi sugli utenti amministratori vengono effettuate non solo con il nome dell’utente (Administrator, Admin, etc.) ma anche – e soprattutto – correlando il livello dei permessi dell’utente recuperandolo direttamente dall’Active Directory.
Esempio 2: access-from-different-location
Nel caso si verifichino due accessi contemporanei da due locazioni differenti, il ML valuta l’impossibilità o meno del viaggio. Pone un livello di rischio basso se il viaggio è impossibile ma di poche ore, ovvero se la distanza di volo dei due aeroporti più vicini è maggiore dei tempi di accesso dalle due nazioni. Mentre, il rischio cresce con l’aumentare dell’impossibilità del viaggio.
Alto ingrandimento per un efficace puntamento
In conclusione, l’aggiornamento rilasciato permette a Cypeer di affinare ulteriormente le sue capacità di detection rafforzando quella che è la peculiarità differenziante dei sistemi MDR, ossia la possibilità di valutare dai milioni di eventi e le informazioni recuperate per una realtà aziendale, quelle che sono le minacce reali è che necessitano di essere prontamente gestite. Il tutto, avvalendosi di un sistema adattivo di intelligenza artificiale specificatamente costituito per le analisi di sicurezza, volto a sostituire (in gran parte) le attività che uno specialista umano dovrebbe effettuare.