Cos'è l'analisi comportamentale?


L'analisi comportamentale utilizza l'apprendimento automatico, l'intelligenza artificiale, i Big Data e le funzionalità di analisi per identificare i comportamenti dolosi attraverso l'analisi delle differenze nelle normali attività quotidiane.

Definiamo l'analisi comportamentale
Tutti gli attacchi dannosi hanno un aspetto in comune: presentano comportamenti anomali rispetto a quelli ordinari e normali all'interno di un sistema o di una rete. Spesso le aziende identificano i comportamenti dolosi attraverso firme correlate direttamente a determinati tipi di attacchi noti. Tuttavia, man mano che gli attacchi dei malware diventano più sofisticati, sviluppano continuamente nuove tattiche, tecniche e procedure (TTP) che consentono non solo di entrare in ambienti vulnerabili, ma anche di spostarsi trasversalmente senza essere rilevati.

È qui che entra in gioco l'analisi comportamentale. Con l'aiuto di enormi volumi di dati di endpoint non filtrati, il personale addetto alla sicurezza adesso può utilizzare strumenti basati su comportamento, algoritmi e apprendimento automatico per determinare qual è il comportamento normale degli utenti quotidiani e quali sono i comportamenti anomali. L'analisi comportamentale è in grado di identificare eventi, tendenze e modelli, attuali e storici, che non rientrano nei parametri delle normali attività quotidiane.

Eliminando queste anomalie, i team addetti alla sicurezza possono ottenere visibilità e identificare le tattiche comportamentali inattese degli hacker fin dall'inizio, prima che eseguano completamente il piano di attacco. L'analisi comportamentale può anche aiutare a scoprire le cause primarie e fornire informazioni approfondite per l'identificazione futura e la previsione di attacchi simili.

Quali sono i comportamenti che indicano la presenza di un'attività dannosa?

Tempistiche degli eventi insolite, sequenze di azioni anomale o aumento del movimento dei dati sono solo alcuni indicatori della presenza di attività dannose in un ambiente. Ecco alcuni esempi specifici di comportamenti anomali che potrebbero portare all'identificazione di un attacco in corso.

  • Un collegamento in un file dall'aspetto affidabile viene caricato nella memoria, quindi carica in remoto uno script per individuare i dati riservati che vengono rinviati all'hacker.

  • Il codice dannoso viene immesso nelle applicazioni già installate, come Microsoft Word, Flash, Adobe PDF Reader, un browser Web o JavaScript, per individuare le vulnerabilità ed eseguire quindi il codice dannoso.

  • Gli strumenti di sistema nativi, come la Strumentazione gestione Windows (WMI) e i linguaggi di script Microsoft PowerShell che in genere vengono considerati altamente affidabili, sono presi di mira per eseguire gli script da remoto.

Industry Pulse: l'analisi comportamentale è diventata indispensabile

All'inizio del 2016, il SANS Institute ha evidenziato l'importanza dell'analisi comportamentale in un white paper dal titolo "Using Analytics to Predict Future Attacks and Breaches". Nella conclusione, l'autore precisa: "Sfruttare piattaforme con funzionalità di analisi dei dati più avanzate per acquisire un numero sempre maggiore di dati diversi, concentrarsi su una maggiore visibilità delle minacce di rete e automatizzare le azioni di rilevamento e risposta può aiutare i team addetti alla sicurezza, ora e in futuro, a evolversi per superare queste sfide".

Ebbene, il futuro ormai è arrivato e, nel 2018, l'analisi del comportamento è essenzialmente un requisito indispensabile per la sicurezza avanzata degli endpoint. Difatti, nel report Magic Quadrant di Gartner per la piattaforma di gestione degli endpoint, l'apprendimento automatico e il monitoraggio del comportamento sono evidenziati come punti di forza di visionari e leader. Il report sottolinea inoltre che "i vendor più visionari e leader nel 2018 e nel 2019 sono quelli che utilizzano i dati raccolti attraverso le proprie capacità [di rilevamento e risposta degli endpoint] per fornire indicazioni e consigli pratici personalizzati ai loro clienti".

Il 17% delle violazioni del 2017 è stato causato da errore umano (e non un deliberato intento doloso).

La soluzione: il cloud

Per sfruttare appieno l'analisi comportamentale, le aziende devono sfruttare il cloud e il suo immenso potere computazionale, la sua scalabilità illimitata e la sua facilità di gestione. Il cloud offre un approccio proattivo che combina i Big Data a funzionalità di analisi avanzate per superare in modo intelligente gli attacchi emergenti più minacciosi.

Ad esempio, il cloud supporta le funzionalità di analisi di streaming, in cui l'attività degli endpoint normale e anomala può essere monitorata e confrontata con qualsiasi dato storico non filtrato degli endpoint. Analizzando questi flussi di eventi e confrontandoli con quelli considerati normali, il cloud crea un sistema di monitoraggio delle minacce globale che non solo rileva gli attacchi, ma prevede quelli che non erano mai stati osservati prima.

Questo potente approccio non può essere adottato con le soluzioni AV tradizionali, che sono basate su firma, ma è possibile con un software antivirus di nuova generazione (NGAV).

NGAV nel cloud offre una comunicazione bidirezionale con gli endpoint, in modo che tutti i dati non filtrati degli endpoint possano essere monitorati e trasformati in analisi predittive che proteggono in modo proattivo le aziende da attacchi sofisticati.

Inoltre, il cloud offre i vantaggi in termini di infrastruttura che la maggior parte delle aziende stanno già sperimentando con altri software di classe enterprise: operation semplificate e meno costose, deployment più rapido e tecnologia innovativa all'avanguardia.

Risorse, soluzioni e prodotti VMware per l'analisi dei Big Data

Proteggi le app e i dati con la sicurezza intrinseca

Un nuovo approccio alla sicurezza: la sicurezza intrinseca offre un approccio completamente diverso per proteggere la tua azienda.

VMware NSX Service-defined Firewall

Affidati a un firewall interno layer 7 distribuito e di tipo stateful, basato su NSX, per proteggere il traffico nel data center per i carichi di lavoro virtuali, fisici, containerizzati e su cloud.

Piattaforma di Digital Workspace moderna

Distribuisci e gestisci in modo semplice e sicuro qualsiasi app su qualunque dispositivo con VMware Workspace ONE, piattaforma di Digital Workspace basata sull'intelligence.