Security managementSicurezza

Darktrace, il machine learning applicato alla sicurezza di rete

Giornalista e collaboratore di TechWeekEurope, si occupa professionalmente di IT e nuove tecnologie da oltre vent'anni e ha collaborato con le principali testate italiane di settore

Follow on: Linkedin

L’Enterprise Immune System di Darktrace monitora il funzionamento di una rete per evidenziare automaticamente comportamenti anomali con algoritmi di apprendimento

Quando parliamo di attacchi informatici parliamo da sempre di virus e di infezioni, a simboleggiare che le reti si “ammalano” dall’interno come effetto di agenti esterni, è quindi solo logico che occupandosi proprio di difesa dalle infezioni Darktrace abbia deciso di chiamare la sua piattaforma Enterprise Immune System: l’obiettivo è proprio quello di “immunizzare” il sistema informativo contro l’azione degli elementi ostili. Non solo malware e virus, però, dato che il panorama della IT security oggi è molto più articolato.

Corrado Broli, Country Manager di Darktrace
Corrado Broli, Country Manager di Darktrace

Darktrace è stata creata a Cambridge nel 2013 e nasce a pieno titolo dagli ambienti universitari ma anche grazie al contributo – spiega Corrado Broli, Country Manager per l’Italia – di persone provenienti dall’intelligence britannica. Le competenze matematico-statistiche dello staff di partenza di Darktrace sono importanti perché il suo approccio alla sicurezza è basato sull’applicazione delle tecniche di machine learning al monitoraggio della rete, in modo da scoprire elementi anomali anche in assenza delle tipiche forme di identificazione, come le firme dei malware o le segnalazioni delle reti di threat intelligence.

L’Enterprise Immune System prende concretamente la forma di un’appliance che viene installata all’interno della rete da monitorare. È nell’appliance che sono integrati gli algoritmi di analisi e apprendimento sviluppati da Darktrace. Dopo l’installazione l’appliance inizia a “osservare” il comportamento della rete e le comunicazioni dei suoi nodi, in modo da definirne il modello di riferimento (la baseline). Saranno gli scostamenti da tale modello, valutati da specifici algoritmi statistico-probabilistici, a indicare se è in corso un attacco alla rete o qualche suo nodo è stato infettato.

Un’appliance – spiega Broli – può analizzare il comportamento di qualsiasi oggetto in rete che abbia un indirizzo IP. Ci vogliono alcuni giorni per completare la definizione della baseline, che non è un modello statico ma evolve nel tempo e viene aggiornato automaticamente dal sistema. Il monitoraggio del traffico di rete si basa sull’analisi dei flussi di dati per le coppie mittente-destinatario, non va a esaminare il contenuto delle comunicazioni per ovvi motivi di privacy”.

Una visualizzazione del funzionamento dell'EIS
Una visualizzazione del funzionamento dell’EIS

L’integrazione degli algoritmi di machine learning nell’appliance rende quest’ultima indipendente da una eventuale connessione a un servizio cloud. Gli algoritmi sono autonomi e vengono migliorati regolarmente da Darktrace, cosa che si concretizza in un paio di aggiornamenti l’anno del software operativo dei dispositivi.

Le appliance sono disponibili in diversi modelli che si differenziano per la banda e il numero massimo di oggetti gestibili. Al momento sono tre, che rispettivamente possono gestire circa 400 device con una banda di 1 Gbps, circa 4 mila con 2 Gbps e circa 35 mila con 5 Gbps. Numeri elevati ma, ricorda Broli, “teniamo conto che, fatto cento il numero degli utenti in rete, sul network ci saranno mediamente 200-300 device, comprendendo tutti gli apparati”.

Darktrace conta al suo attivo un migliaio di installazioni in tutti i settori. Tra quelle in Italia si segnala il progetto di HBG Gaming, società attiva nel settore del gaming online. Inizialmente la società ha voluto testare le soluzioni Darktrace per un mese e, racconta, nel giro di un paio di settimane queste hanno identificato comportamenti anomali nella rete, incluso un ransomware. Dopo il test HBG Gaming usa l’Enterprise Immune System di Darktrace in tutta la sua rete aziendale.