Garantire la resilienza aziendale: i 3 pilastri per una corretta postura cyber

Ci sono almeno due temi che stanno designando il futuro prossimo della cyber security, entrambi così importanti e macroscopici da avere praticamente monopolizzato la conversazione: si tratta delle nuove norme e soprattutto dell’enorme impatto che l’intelligenza artificiale sta avendo sulla cybersecurity.

Sul secondo torneremo nel corso dell’articolo, mentre per quanto riguarda il primo ci è sufficiente ricordare l’importanza che la resilienza aziendale ha assunto anche sotto il profilo normativo, sia con la celeberrima NIS2 sia con regolamenti più specifici come il Cyber Resilience Act.

Cosa lega questi due temi? Per dare una risposta ci siamo fatti aiutare da Massimo Brugnoli, Digital Innovation Director di Project Informatica, capogruppo di WeAreProject . L’azienda, infatti, ha messo a punto una soluzione, veicolata attraverso la piattaforma Julk, sviluppata internamente, per garantire la resilienza delle imprese.

Dallo sviluppo alla cyber security

Brugnoli ha spiegato qual è stato il percorso che ha condotto Project Informatica a costruire un proprio strumento. “A metà del 2023 abbiamo formato un team per lo sviluppo di soluzioni legate all’AI, che abbiamo utilizzato sia internamente sia per proporre soluzioni innovative ai nostri clienti”.

Non si tratta di un team focalizzato sulla cyber security. Questo, come vedremo, secondo Brugnoli è stato un punto di forza nello sviluppo del loro framework di lavoro e della piattaforma, che è nata proprio dall’unione delle idee degli esperti di sicurezza e degli sviluppatori. “Siamo partiti con tre o quattro idee e oggi stiamo già lavorando a una dozzina di funzionalità”, spiega.

Cosa contraddistingue la soluzione di Project informatica? Abbiamo ricondotto gli aspetti distintivi a tre pilastri fondamentali.

Aumentare il livello di predittività offerto dagli strumenti più noti

“La prima cosa che volevamo era la capacità di essere più predittivi e superare lo logica delle notifiche degli eventi dei servizi più noti, per esempio la mappatura con MITRE. Abbiamo pensato che, mettendo a matrice i dati provenienti dai servizi esterni con strumenti di analisi capaci di guardare al nostro interno, avremmo potuto sfruttare meglio le informazioni nel nostro contesto, anche facendo convergere alcune telemetrie in una nostra piattaforma a vantaggio di tutte le aziende servite”.

L’unione dei dati provenienti dai principali servizi di threat intelligence con le letture interne, insomma, permette di dare un migliore contesto alle informazioni e di usarle per aumentare la capacità di prevedere le minacce potenziali o in corso, cercando analogie ad ampio spettro.

Questo avviene, e qui troviamo la prima connessione, attraverso l’uso dell’intelligenza artificiale come strumento di supporto all’analisi, con lo scopo di creare una Detection parallela che realizza un controllo indipendente rispetto a quanto registrano gli altri strumenti noti.

“Quello che abbiamo creato è, in pratica, un framework abilitante per integrare funzionalità aggiuntive all’interno del nostro SOC, completamente in house e soprattutto completamente agnostico, svincolato cioè da qualsiasi dipendenza dai vendor”. Questo concetto apre ai prossimi due pilastri.

L’AI come acceleratore di competenze, non come loro sostituto

L’AI è già ampiamente utilizzata da attaccanti e difensori all’interno della cyber security: “Machine learning e deep learning, per chi sta dalla parte della difesa, non sono una novità – spiega Brugnoli- quello che stiamo provando a fare è realizzare nuove sinergie tra competenze e strumenti, che rendano concreti i vantaggi di strumenti come l’AI generativa”.

Non è un mistero che molte delle caratteristiche più affascinanti dell’IA al momento siano soprattutto promesse. Project Informatica le sta concretizzando alla luce di un pensiero che trova sempre più affermazione: “Secondo noi lo scopo principale dell’IA deve essere quello di permettere agli operatori di migliorare e sfruttare le proprie competenze alla velocità della luce. Utilizzarla quindi come guida supplementare anche negli aspetti decisionali, che restano però in gestione all’ esteso team di analisti”.

In Julk questa filosofia trova un’applicazione pratica interessante. “mettendo insieme le competenze del nostro SOC con quelle degli sviluppatori, abbiamo realizzato uno strumento che ci permette non solo di cercare di prevedere le mosse degli attaccanti in base a specifiche mappature, ma soprattutto prevederne le possibili reazioni in base alle contromisure che adotteremo. Qui gioca un ruolo cruciale la storica e fondata competenza messa a disposizione dal nostro Ethical Hacking Team”.

Una volta rilevato un attacco o una minaccia, insomma, Julk permette di simulare i passi successivi in modo tempestivo e di scegliere con maggiore consapevolezza la strategia da intraprendere.

Brugnoli ricorda l’importanza di questo soprattutto in caso di minacce persistenti: “Un attaccante, in presenza di contromisure, cambia la propria dinamica di attacco. So che il parallelo con partita a scacchi non è nuovo (depistaggi e deception esistono da tempo) ma è esattamente quello che accade. Julk ci permette di costruire ipotesi su come la partita può evolvere, grazie anche all’utilizzo dell’IA a supporto e secondo le logiche di accelerazione delle competenze”.

Sviluppare il pensiero analitico e l’indipendenza

Ma come si arriva allo sviluppo di un sistema così complesso? La chiave è l’indipendenza di pensiero.

“Dall’idea di far dialogare team diversi e dare voce a ciascuno sono scaturite idee nuove e non convenzionali, sia sull’uso stesso dell’IA, sia sugli strumenti che potrebbero essere utili a un SOC – racconta Brugnoli – L’indipendenza di pensiero che ci ha permesso di svilupparli è un po’ nel nostro DNA ed è la ragione per cui Julk è stato progettato per non dipendere dal vendor”. Legarsi a un vendor implica, secondo loro, almeno due rischi. Prima di tutto in caso di modifica o ritiro di qualche funzionalità si rischia di dover ripensare la propria soluzione. “Ma soprattutto, si rischia di uniformarsi alla filosofia del vendor e alle features che questo ‘spinge’. A noi piace sperimentare qualcosa in più”.

In fondo, la storia insegna che gli attaccanti per poter andare a segno devono pensare costantemente fuori dagli schemi e trovare soluzioni sempre nuove. “Uniformarsi unicamente alla capacità d’esecuzione di uno o più vendor rischia di minare la capacità critica e di analisi di un SOC, standardizzandone troppi aspetti. Noi di Project stiamo invece lavorando per creare sempre maggior consapevolezza e visione d’ insieme, per trarre il maggior vantaggio dalla condivisione di competenze e tecnologie nostre e dei vendor”, conclude Massimo Brugnoli.

Julk, uno strumento progettato per essere efficace

Ci sono altre caratteristiche di Julk che gli hanno permesso di incontrare già nelle prime fasi della sua vita il favore dei clienti e molte altre ne seguiranno.

La chiave di lettura principale, tuttavia, rimane la stessa: aver costruito uno strumento di ausilio basato su IA, che non è fine a sé stesso, ma è stato tagliato sui reali bisogni di un team operativo, miscelando in modo sapiente le caratteristiche migliori dei principali framework AI. E che fa propri i tre pilastri indispensabili secondo Project Informatica per garantire una resilienza aziendale efficace e pronta per i nuovi scenari.