CrowdStrike – società specializzata nella protezione degli endpoint, dei workload in cloud, dell’identità e dei dati – ha svelato i primi Indicatori di Attacco (IoA) alimentati dall’intelligenza artificiale del settore, che rappresentano un’ulteriore innovazione per la prevenzione degli attacchi fileless su scala e una migliorata visibilità sulle intrusioni furtive nel cloud.
Integrate nella piattaforma CrowdStrike Falcon e alimentate da CrowdStrike Security Cloud, queste nuove funzionalità di rilevamento e risposta bloccano le tecniche di attacco emergenti e consentono alle organizzazioni di ottimizzare il ciclo di vita di rilevamento e risposta alle minacce con velocità, scala e precisione.
Oltre dieci anni fa CrowdStrike ha lanciato gli IoA (Indicatori di Attacco), contribuendo a creare un approccio fondamentalmente nuovo per bloccare le violazioni, basato sul comportamento reale degli avversari, indipendentemente dal malware o dall’exploit utilizzato durante un attacco.
CrowdStrike ha anche spinto i confini dell’applicazione dell’IA (intelligenza artificiale) in ambito sicurezza informatica per identificare e bloccare gli attacchi più avanzati ed emergenti. Ora CrowdStrike sta sfruttando potenti tecniche di IA per creare nuovi Indicatori di Attacco alla velocità delle macchine e su scala industriale.
Amol Kulkarni, Chief Product and Engineering Officer di CrowdStrike, ha dichiarato: “CrowdStrike guida il mercato nel bloccare gli attacchi più sofisticati, grazie alla funzionalità Indicators of Attack, leader di settore, che ha rivoluzionato il modo in cui i team di sicurezza prevengono le minacce basandosi sul comportamento degli avversari e non su indicatori facilmente modificabili.
Ora stiamo cambiando di nuovo le carte in tavola con l’aggiunta di indicatori di attacco alimentati dall’intelligenza artificiale, che consentono alle organizzazioni di sfruttare la potenza di CrowdStrike Security Cloud per esaminare il comportamento degli avversari alla velocità delle macchine e su scala, per bloccare le violazioni nel modo più efficace possibile“.
Nuove funzionalità della piattaforma CrowdStrike Falcon
Oggi – sottolinea CrowdStrike – le organizzazioni affrontano la sfida di mettere in sicurezza e proteggere aree crescenti di vulnerabilità agli attacchi, da minacce e tecniche avversarie emergenti.
Attraverso la piattaforma Falcon, le organizzazioni possono:
- Rilevare nuove classi di attacco, più velocemente che mai: individuare le tecniche di attacco emergenti con nuovi IoA creati da modelli di intelligenza artificiale ad apprendimento continuo addestrati sul comportamento degli avversari del mondo reale e sul database di informazioni sulle minacce più ricche al mondo.
- Favorire la prevenzione automatizzata attraverso rilevamenti ad alta fedeltà: bloccare gli attacchi in base a una catena di comportamenti, indipendentemente dal malware o dagli strumenti specifici utilizzati, con modelli di IA cloud-native forniti costantemente all’agente Falcon grazie ai nuovi IoA.
- Attivare su scala cloud indicatori di attacco addestrati sulla base di competenze umane: sfruttare gli Indicatori di Attacco basati sull’intelligenza artificiale per sintetizzare le intuizioni del team di threat hunting di CrowdStrike, per ridurre al minimo i falsi positivi, massimizzare la produttività degli analisti e distribuire la caccia alle minacce su scala.
L’azienda mette in evidenza che gli IoA alimentati dall’intelligenza artificiale hanno identificato oltre 20 modelli di avversari, mai scovati prima, che sono stati convalidati da esperti e applicati sulla piattaforma Falcon per il rilevamento e la prevenzione automatizzati.
Novità per la prevenzione degli attacchi fileless su scala
Secondo il Global Threat Report 2022 di CrowdStrike il 62% di tutti gli attacchi rilevati è privo di malware.
Questi attacchi “fileless” possono essere eseguiti interamente in memoria, creando per gli attori delle minacce un punto cieco da sfruttare. Grazie alla piattaforma Falcon, le organizzazioni possono:
- Prevenire gli attacchi fileless più avanzati: bloccare le minacce persistenti avanzate (APT) e gli strumenti prevalenti, come Cobalt Strike, con tecniche avanzate di scansione della memoria che potenziano i già sofisticati rilevamenti basati su IA/ML e IoA (Indicatori di Attacco) con una rapida scansione di tutta la memoria su una scala senza precedenti.
- Lasciarsi alle spalle le scansioni di memoria “bloated” (gonfiate): liberarsi dai pesanti vincoli di risorse creati dagli approcci tradizionali, che rendevano la scansione della memoria un’opzione non praticabile, con tecniche di scansione della memoria ad alte prestazioni, ottimizzate per le CPU/GPU Intel.
- Avviare le scansioni della memoria in base al comportamento, non a un programma fisso: automatizzare le scansioni con trigger basati sul comportamento per identificare e bloccare i modelli di attacco fileless in tempo reale, non dopo una potenziale violazione.
Maggiore visibilità sulle intrusioni furtive nel cloud
Con la migrazione di ambienti, dati e applicazioni Linux sul cloud, anche gli avversari si sono spostati nel cloud per aprire backdoor, rubare dati sensibili e nascondere i propri movimenti.
Con la piattaforma Falcon, le organizzazioni possono:
- Cacciare i rootkit furtivi e ridurre il tempo di permanenza: identificare l’attività dannosa nelle prime fasi della kill chain grazie ad una profonda visibilità del kernel Linux per alimentare la caccia alle minacce e le capacità d’indagine sugli attacchi Linux nascosti ed emergenti.
- Rafforzare la caccia alle minacce gestite nel cloud: interrompere le minacce più sofisticate negli ambienti cloud grazie a nuovi eventi di telemetria del kernel creati per gli esperti di Falcon OverWatch, sulla base del servizio Falcon OverWatch Cloud Threat Hunting, recentemente annunciato da CrowdStrike.
Queste funzionalità, spiega l’azienda, sono disponibili per tutti i clienti di Falcon Prevent e Falcon Insight.
