Le squadre di sicurezza operativa stanno sperimentando di persona quanto rapidamente gli aggressori reinventino le loro strategie di attacco, automatizzino gli attacchi su numerosi endpoint e facciano tutto il possibile per superare le difese informatiche delle loro vittime. Gli aggressori sono implacabili e vedono le vacanze come un’ottima opportunità per infiltrarsi nelle difese di sicurezza informatica delle organizzazioni. Di conseguenza, le squadre SecOps sono disponibili 24 ore su 24, 7 giorni su 7, compresi i fine settimana e le festività, lottando contro l’affaticamento, la stanchezza e la mancanza di equilibrio nella loro vita. È davvero un ambiente brutale.
Una delle principali sfide nell’essere a capo di una squadra SecOps è garantire la scalabilità dei sistemi legacy, ognuno dei quali produce diversi tipi di avvisi, allarmi e flussi di dati in tempo reale. Tra le molte lacune create da questa mancanza di integrazione, una delle più problematiche e sfruttate è l’incapacità di sapere se una specifica identità ha il diritto di utilizzare un determinato endpoint e, in tal caso, per quanto tempo. I sistemi che unificano endpoint e identità stanno definendo il futuro della zero trust, e ChatGPT mostra il potenziale per colmare le lacune tra identità, endpoint e molte altre superfici di minaccia a rischio.
Gli aggressori stanno affinando le loro tecniche per sfruttare queste lacune. Le squadre SecOps sono consapevoli di ciò e stanno adottando misure per rafforzare le proprie difese. Queste misure includono l’applicazione di accessi con privilegi minimi, il monitoraggio e la registrazione di ogni attività sugli endpoint, l’implementazione dell’autenticazione e l’eliminazione delle credenziali inutilizzate da Active Directory e altri sistemi di gestione delle identità e degli accessi (IAM). Gli aggressori cercano attivamente di compromettere le identità, e i CISO devono rimanere vigili per mantenere i sistemi IAM aggiornati e resistenti alle minacce.
Tuttavia, le squadre SecOps devono affrontare ulteriori sfide, come migliorare l’intelligence sulle minacce, fornire una visibilità dei dati sulle minacce in tempo reale in tutti i Security Operations Center (SOC), ridurre l’affaticamento degli allarmi e i falsi positivi, nonché consolidare gli strumenti disparati che utilizzano. Questi sono settori in cui ChatGPT sta già aiutando le squadre SecOps a rafforzare la loro sicurezza informatica.
La consolidazione degli strumenti disparati aiuta a colmare il divario tra identità ed endpoint, fornendo una visibilità più coerente di tutte le superfici di minaccia e dei potenziali vettori di attacco.
Un insegnamento che i CISO che conducono e utilizzano sistemi basati su ChatGPT nelle operazioni SecOps hanno appreso è che devono prestare molta attenzione alla corretta sanitizzazione e governance dei dati, anche se ciò significa ritardare i test interni o il lancio di nuovi sistemi. Hanno anche imparato a selezionare i casi d’uso che contribuiscono maggiormente agli obiettivi aziendali e a definire come questi contributi verranno valutati per misurare il successo. Inoltre, devono creare flussi di lavoro ricorsivi utilizzando strumenti in grado di convalidare i report di avvisi e incidenti generati da ChatGPT, in modo da distinguere quelli attuabili dai falsi positivi.
È fondamentale comprendere se e come la spesa per le soluzioni basate su ChatGPT rafforzi il caso aziendale per la sicurezza zero-trust e, dal punto di vista del consiglio di amministrazione, rafforzi la gestione del rischio.
Ecco 10 modi in cui ChatGPT sta aiutando le squadre SecOps a rafforzare le difese informatiche contro una serie di attacchi, inclusi quelli ransomware che sono aumentati del 40% solo nell’ultimo anno:
- L’ingegneria del rilevamento si sta dimostrando un caso d’uso valido. I CISO che stanno conducendo progetti pilota affermano che i loro team SecOps possono rilevare, rispondere e addestrare i modelli di allarme basati su machine learning imparando dagli allarmi e dalle minacce reali, rispetto a quelli falsi positivi. ChatGPT è efficace nell’automatizzare le attività di rilevamento di base, liberando i team SecOps per investigare modelli di allarme più complessi.
- Migliorare la risposta agli incidenti su larga scala. I CISO che stanno testando ChatGPT affermano che la piattaforma offre una guida pratica e accurata per rispondere agli incidenti. È in grado di gestire scenari di test complessi, fornendo riferimenti contestuali precisi.
- Semplificare le operazioni SOC su larga scala per alleggerire il carico di lavoro degli analisti. Un’importante azienda di servizi assicurativi e finanziari sta conducendo un progetto pilota su ChatGPT per valutare come l’IA possa aiutare gli analisti dei Security Operations Center (SOC) sovraccarichi di lavoro nell’analisi automatica degli incidenti di sicurezza informatica e nella formulazione di raccomandazioni per risposte immediate e a lungo termine. Stanno anche testando l’efficacia di ChatGPT nella valutazione del rischio, nelle consulenze per vari script, nelle politiche e procedure di sicurezza, nella formazione dei dipendenti e nel miglioramento dei tassi di ritenzione dell’apprendimento.
- Impegno per la visibilità e la gestione delle vulnerabilità in tempo reale. Diversi CISO affermano che migliorare la visibilità attraverso i diversi strumenti utilizzati nei SOC è una priorità assoluta, ma anche una sfida. ChatGPT può fornire rapporti sulle vulnerabilità in tempo reale, elencando tutte le minacce o vulnerabilità note e rilevate per ogni risorsa nella rete dell’organizzazione. I rapporti possono essere classificati in base al livello di rischio, alle raccomandazioni per le azioni da intraprendere e al livello di gravità, a condizione che tali dati vengano utilizzati per addestrare i modelli linguistici generativi.
- Migliorare l’accuratezza, la disponibilità e il contesto dell’intelligence sulle minacce. ChatGPT si dimostra efficace nel prevedere potenziali scenari di minacce e intrusioni, analizzando in tempo reale i dati di monitoraggio attraverso le reti aziendali e sfruttando la base di conoscenze costantemente aggiornata dai modelli linguistici generativi. Gli LLM (Language Model Models) che supportano ChatGPT forniscono approfondimenti contestualizzati, in tempo reale e rilevanti per gli analisti dei SOC, contribuendo a distinguere i falsi positivi dalle minacce reali.
- Identificare come le configurazioni di sicurezza possono essere migliorate e ottimizzate per un insieme specifico di minacce. I CISO sono interessati a come ChatGPT possa aiutare a identificare e raccomandare miglioramenti delle configurazioni interpretando gli indicatori di compromissione forniti dai dati. L’obiettivo è ottimizzare le configurazioni per ridurre al minimo i falsi positivi, che a volte possono essere causati da avvisi basati su indicatori di compromissione attivati da una configurazione non ottimale.
- Triage, analisi e azioni consigliate più efficienti per gli avvisi, gli eventi e i falsi positivi. La quantità di tempo sprecata a causa dei falsi positivi è uno dei motivi per cui i CISO, i CIO e i consigli di amministrazione stanno considerando piattaforme basate sull’IA sicure e generative. ChatGPT può ridurre drasticamente il tempo sprecato nella risoluzione dei falsi positivi, fornendo un’interfaccia accessibile per interagire con l’IA generativa e ottenere raccomandazioni rapide ed efficaci.
- Analisi del codice più approfondite, accurate e sicure. Gli esperti di sicurezza informatica stanno testando ChatGPT per valutare come gestisce l’analisi del codice di sicurezza più complesso. Ci sono casi in cui ChatGPT ha identificato con successo installazioni sospette di servizi, senza produrre falsi positivi. L’IA generativa accessibile tramite ChatGPT può analizzare grandi quantità di codice e fornire rapporti accurati su potenziali minacce e anomalie.
- Migliorare la standardizzazione e la governance del SOC per una posizione di sicurezza più solida. La standardizzazione dei processi e delle procedure all’interno dei SOC è fondamentale per affrontare gli incidenti di sicurezza in modo efficiente. ChatGPT può contribuire a creare flussi di lavoro coerenti, adattabili ai cambiamenti nel panorama della sicurezza e al passo con gli incidenti.
- Automatizzare la scrittura di query SIEM e script giornalieri utilizzati nelle operazioni dei SOC. Le query SIEM sono fondamentali per analizzare i dati dei registri eventi in tempo reale e identificare le anomalie. L’IA generativa basata su ChatGPT può automatizzare la creazione e l’aggiornamento delle query SIEM, liberando gli analisti SOC da compiti manuali e permettendo loro di concentrarsi su attività più complesse.
In conclusione, ChatGPT sta apportando numerosi benefici alle squadre SecOps, contribuendo a rafforzare le difese informatiche contro gli attacchi informatici sempre più sofisticati, inclusi quelli legati al ransomware. L’IA generativa offre nuove opportunità per migliorare la rilevazione delle minacce, la risposta agli incidenti, la gestione delle vulnerabilità e la standardizzazione delle operazioni di sicurezza, liberando gli analisti da compiti ripetitivi e consentendo loro di concentrarsi su attività più complesse e ad alto valore aggiunto.