Perché l’automazione non è ancora un proiettile d’argento per la sicurezza informatica

Eoin Keary Fondatore e CEO di edgecan.com, un’azienda SaaS per la gestione delle superfici di attacco, la penetrazione come servizio e la gestione delle vulnerabilità.

Quando si tratta di proteggere un’azienda dal punto di vista della sicurezza informatica, i leader devono agire rapidamente, mantenere la visibilità e rilevare le minacce il prima possibile. Nel mondo della sicurezza informatica, l’automazione offre scalabilità e coerenza che possono essere utilizzate per fornire un lavoro ripetitivo e reagire rapidamente a determinate condizioni. Ancora meglio è l’automazione intelligente basata sull’intelligenza artificiale (AI) o sull’apprendimento automatico (ML).

Se le condizioni sono diverse, e generalmente lo sono, o possono variare ampiamente, tuttavia, l’automazione inizia a diventare meno utile a causa del fatto che è necessario un livello di contesto per determinare cosa fare dopo. L’automazione è ottima per ampiezza e scala, ma non per profondità. La profondità richiede l’intelligenza per agire a seconda della sfida specifica.

Nella sicurezza informatica, le sfide possono essere simili, proteggere qualcosa, ma le minacce possono variare notevolmente.

Sconfiggere il software contro gli umani per vincere la guerra informatica

L ‘”elefante nella stanza” è contesto e profondità.

Il rischio, ad esempio, è la possibilità che succeda qualcosa di brutto. La definizione di “cattivo” è contestuale e richiede la comprensione umana. L’automazione non sta ancora praticando quello sport.

In generale, un aggressore determinato si concentra sulla profondità per scoprire e sfruttare una vulnerabilità che risulta in una violazione delle difese di un’organizzazione. Che si tratti di un difetto complesso o semplice o della logica aziendale, l’automazione potrebbe non essere sempre in grado di rilevare un tale tentativo o di rilevare una tale vulnerabilità per mitigare il rischio. Affidarsi alla sola automazione sta contrapponendo il software automatizzato all’intelligenza umana. Attualmente, gli umani vincerebbero la maggior parte delle volte.

Quando parlerò con i miei colleghi aziendali, dirigenti informatici e CISO in merito alla dipendenza da ML, AI o pura automazione per difendere autonomamente un’impresa, scoprirai rapidamente che la fede e la convinzione non ci sono. Molte organizzazioni dovrebbero ancora desiderare fortemente di avere gli esseri umani al timone.

Per comprendere questo punto, diamo un’occhiata a un paio di esempi dallo spazio di gestione delle vulnerabilità e rilevamento dei rischi per capire, in base alla mia esperienza, quali soluzioni potrebbero essere più adatte per l’automazione.

Test di penetrazione

Il test di penetrazione è una forma di software, siti Web e sistemi di test del software basato sull’automazione.

Alcuni dei punti di forza includono:

• Vengono rilevati problemi logici e contestuali.

• È possibile scoprire la precisione basata sull’intelligenza umana e su exploit complessi.

• La definizione delle priorità può essere comunicata facilmente all’azienda, tenendo conto dei rischi aziendali.

• Scoperta di vulnerabilità dovute alla comprensione umana di ciò che viene testato e di come dovrebbe funzionare un sistema.

Alcuni dei punti deboli includono:

• Non facilmente scalabile.

• Non così efficiente in termini di costi.

• Non su richiesta/pulsante a causa dello sforzo manuale richiesto.

• Non si adatta a DevOps a causa della velocità e della natura continua dei requisiti DevOps.

Gestione delle vulnerabilità

La gestione delle vulnerabilità è una forma di software, siti Web e sistemi di test software basati sull’automazione.

Alcuni dei punti di forza includono:

• Più facilmente scalabile.

• Su richiesta “premendo un pulsante”.

• Adatto a DevOps.

• Rileva rapidamente “frutta bassa”.

Alcuni dei punti deboli includono:

• Precisione, poiché l’automazione non comprende il contesto di rischio o lo scopo aziendale di ciò che viene testato.

• La valutazione del rischio è debole, poiché il software non comprende il rischio.

• Copertura e profondità dovute a carenze nel rilevamento di vulnerabilità logiche e complesse.

• Richiede competenze umane per convalidare l’output.

• Le metriche sono scadenti a causa dell’accuratezza e dei punti deboli della copertura.

Cosa dobbiamo fare ora

Da quanto sopra, possiamo dedurre che l’automazione è buona in termini di volume, velocità, costo e scala, ma non è all’altezza della precisione. La precisione è di vitale importanza in termini di sicurezza informatica a causa della pressione sulla definizione delle priorità dei rischi e dell’attenzione su ciò che conta.

La definizione delle priorità è fondamentale per rispondere alla domanda: “Cosa dobbiamo fare ora per essere più resilienti?” Ciò richiede una comprensione del business, la definizione di quali asset sono critici e dove si trovano le aree di maggior rischio ed esposizione.

Definire la “verità di base” (o ciò che sappiamo essere vero) per l’apprendimento automatico consapevole del contraddittorio è particolarmente difficile poiché il concetto di comportamento minaccioso, offensivo o dannoso è spesso piuttosto vago. Le vulnerabilità di impatto possono richiedere la comprensione dello scopo del sistema da valutare, che non è necessariamente un punto di forza dell’automazione. Gli aggressori tentano di nascondere le loro attività in modo che anche gli esseri umani non siano in grado di identificarle, e quindi vulnerabilità complesse, che, in molti casi, non sono facilmente rilevabili e possono rimanere dormienti e non essere scoperte per anni.

Per identificare i casi d’uso tipici di un sistema, è necessario descrivere formalmente le attività tipiche e non contraddittorie per ciascun caso, utilizzando potenzialmente la conoscenza di esperti di dominio, e trattare le deviazioni da queste attività tipiche come eventi potenzialmente contraddittori. Ciò, in effetti, fa sì che la sentinella automatizzata (AI/ML) sia necessaria per comprendere completamente ciò che sta difendendo.

L’elemento umano è qui per rimanere per un bel po’ di tempo

I punti di forza dell’automazione informatica emergono quando dobbiamo gestire grandi volumi di dati e prendere decisioni definite dall’uomo sulla base delle tendenze e delle analisi raccolte dall’elaborazione dei dati nel tempo.

L’automazione informatica funziona molto bene anche se sono necessarie attività coerenti e ripetibili senza che i limiti della decisione cambino troppo nel tempo. In molti casi, l’ambiente in cui ci troviamo a difenderci da un attacco informatico è molto dinamico e non rientra nei limiti dei software decisionali automatizzati a causa di una moltitudine di variabili che devono essere prese in considerazione.

L’intelligenza artificiale è ottima per apprendere modelli e comportamenti, come rilevare transazioni fraudolente e unire altri dati circostanziali per fornire un livello di certezza che l’evento sia un rischio, ma non capisce cosa sta difendendo (o attaccando in alcuni casi), risultando in un contesto aziendale minimo o analisi dell’impatto.

Personalmente, la combinazione di automazione e intelletto umano è l’opzione vincente. L’automazione è la soluzione migliore per “sollevare carichi pesanti”, risposte rapide, attività ripetibili e sfruttare gli esseri umani per considerare il contesto, la priorità e la complessità del rischio. L’automazione può essere molto efficace nel fornire un forte output analitico dei dati, vagliando molti dati circostanziali e fattori ambientali, ma non è ancora un sostituto per il povero vecchio umano emotivo, curioso e talvolta deviante.


Il Forbes Technology Council è una community su invito per CIO, CTO e dirigenti tecnologici di livello mondiale. Mi qualifico?


Leave a Reply

Your email address will not be published.