Come la threat intelligence, ma applicata a minacce che non sono ancora conosciute: è così che, sinteticamente, Vectra AI descrive una nuova tecnologia che sta integrando nei suoi prodotti e servizi per la protezione del cloud e per la parte di Identity/Network/Managed Detection and Response.

La nuova tecnologia si chiama Attack Signal Intelligence e si focalizza su uno dei principali problemi per chi si occupa di cyber security nelle imprese: capire effettivamente quali segnali, anche deboli, provenienti dalla rete e dagli ambienti IT sotto controllo indicano una violazione in corso. O anche solo tentata. Per molti security officer il punto infatti non è avere ancora più informazioni su cosa accade in rete. Piuttosto, è mettere ordine nelle informazioni che già si hanno e dare loro la giusta importanza.

Il campo è ovviamente quello del machine learning e dell'intelligenza artificiale. Che sempre più trovano applicazione in campo cyber security perché danno un grande aiuto sia nel definire le condizioni "normali" degli ambienti IT sia nel rilevare anomalie che, in teoria, potrebbero segnalare l'insorgere di un attacco.

Questa forma di threat intelligence, sostiene però Vectra AI, è utile fino a un certo punto. Rilevare anomalie non basta in uno scenario in cui la superficie di attacco continua a crescere, insieme alla complessità degli ambienti da proteggere. Le anomalie possono essere fin troppe, non sempre significative. E d'altro canto è chiaro che non basta proteggersi verso forme di attacco già conosciute, perché sono molte di più, e molto più evasive, quelle che ancora non si conoscono.

L'idea di Vectra AI è applicare l'intelligenza artificiale e la logica della threat intelligence alle minacce sconosciute, alle quali cioè non è stato ancora associato un "modus operandi" che ne faciliti la scoperta. Attack Signal Intelligence lavora secondo questa logica, andando alla ricerca in rete - grazie alle tecniche di machine learning - di segnali di comportamenti sospetti che possano essere collegati a TTP (Tattiche, Tecniche, Procedure) di un attaccante.

Le rilevazioni di queste TTP vengono poi "affinate" con analisi comportamentali e ulteriori modelli di machine learning. Una forma di triage cyber che serve a capire se un insieme di segnali di comportamento sospetto indicano, insieme, un effettivo attacco in corso. O se sono semplicemente anomalie sì, ma collegate a un comportamento benigno.

L'intelligenza artificiale serve infine a correlare analisi e segnali distinti, collegati anche a domini IT diversi, per dare una visibilità trasversale su cosa stia accadendo. Per richiamare maggiore attenzione su ciò che è effettivamente più importante nella "storia" dell'eventuale violazione o attacco.

Il tutto - nella logica di Attack Signal Intelligence - avviene il più possibile automaticamente, come automaticamente le piattaforme di Vectra AI possono, a questo punto, scatenare azioni di risposta come il blocco di un account o l'isolamento di un endpoint. Mantenendo poi una costante apertura verso (e da) altre piattaforme che l'utente può avere in azione, come quelle SIEM o SOAR.