Broli (Darktrace), nel nostro DNA machine learning e AI come armi per la sicurezza

Security managementSicurezza

Potenzialità e vantaggi delle soluzioni Darktrace, l’azienda che sfrutta machine learning e AI per difendere le reti come fa il nostro sistema immunitario

Darktrace nasce nel 2013, sull’iniziativa di matematici dell’Università di Cambridge, e già oggi è considerata azienda protagonista nell’ambito della cybersecurity a livello internazionale, perché la caratteristica che contraddistingue questa realtà rispetto a qualsiasi altra azienda è di aver sviluppato dai primi “vagiti” algoritmi specifici di machine learning e AI per affrontare i problemi di sicurezza e di aver ideato l’approccio Enterprise Immune System per aiutare le aziende a rilevare e bloccare le minacce più avanzate, approccio che è valso la sua presenza nella classica Best Companies delle 50 aziende più innovative nel mondo, unica realtà in ambito Cybersecurity.

Rispetto a un approccio tradizionale Darktrace non rileva le minacce in base al riconoscimento di quanto è già accaduto, ma è in grado di riconoscere le anomalie in atto, o le criticità, per poter così reagire anche ad attacchi sconosciuti, quindi mettendo in correlazione eventi e comportamenti e analizzandoli sulla base degli algoritmi proprietari.

Corrado Broli – Ceo di Darktrace Italia

L’80 percento delle aziende compromesse spesso non ne è consapevole, tanto che le recenti statistiche Clusit hanno documentato in oltre 230 giorni i tempi di latenza e di reazione. Ecco, la proposta Darktrace è in grado di abbattere questo lasso temporale, con gli alert della piattaforma non appena rileva come stia accadendo qualcosa di strano.

La realtà conta 650 dipendenti con 32 uffici in cinque continenti, e vanta oltre 5mila installazioni in 97 Paesi diversi, la maggior parte delle risorse è impegnata ovviamente in ambito Ricerca e Sviluppo.

Silicon ha incontrato Corrado Broli, Country Manager Darktrace per l’Italia che entra nel dettaglio: “Andiamo sul mercato grazie ai nostri partner e ad alcuni system integrator, aziende selezionate sulla base delle loro competenze, ma abbiamo collaborazioni anche con società di consulenza e realtà di dimensioni piccole in grado però di garantire il livello di servizio che effettivamente ci attendiamo”. 

I clienti finali appartengono invece a tutti i settori di mercato con una prevalenza delle verticalità in ambito Financial e Media & Technology (entrambi circa il 20 percento), e in misura minore Energy, Legale e Assicurativo (circa il 10 percento per comparto), in ogni caso fanno parte del portafoglio clienti anche realtà in ambito Automotive, Retail, e per quanto riguarda la dimensione si va da piccole realtà a realtà di carattere enterprise, per proteggere il traffico generato da appena una dozzina di appliance a migliaia di sistemi.

Broli: “In un parco installato di circa 5mila sistemi la nostra azienda è riuscita a rilevare oltre 63500 incidenti gravi (non rilevate da soluzioni tradizionali già installate dai clienti)”.

Darktrace si affianca infatti alle soluzioni già in essere che non vengono sostituite (antivirus, firewall, etc…) perché prima di tutto si innesta nella Rete per dare perfetta visibilità, con un’intuitiva interfaccia grafica tridimensionale, su tutto quello che accade in Rete, in modo agnostico rispetto alle architetture, a risorse on-premise o in cloud.

Oltre alla visibilità, i clienti apprezzano la capacità di rilevare minacce e criticità mai viste o rilevate in precedenza, sconosciute e di contrastare le minacce (per esempio dagli OS non aggiornati, a ogni sorta di attività minima non consueta). E’ stato sviluppato da Darktrace anche un nuovo prodotto Antigena che a fronte dell’osservazione di un problema all’interno della rete è in grado di intraprendere un’azione per rallentare o bloccare processi e attività.

Darktrace offre ai clienti un periodo di prova significativo (Proof of Value) di un mese, durante il quale viene fornita l’appliance (agentless) che “apprende” la struttura e i componenti della Rete e inizia poi a inviare le segnalazioni con il servizio di analisti qualificati che interpretano i risultati prodotti automaticamente da Darktrace producendo un report con gli incidenti accaduti.

Una vista della consolle Web di Darktrace

Broli racconta: “In questi periodo il cliente ‘apre gli occhi’, si rende conto del numero di problemi rilevati (e apprezza la riduzione drastica del numero dei falsi positivi a tendere, grazie alla possibilità anche di modificare la “sensibilità” degli strumenti), ma soprattutto capita che prenda proprio coscienza di minacce importanti in casa di cui non si è mai reso conto”.

E’ capitato per esempio a Giunti Editore, azienda per cui Darktrace, nel periodo di POV ha rilevato la fuoriuscita di informazioni importanti relative a una nuova collana, ma anche a un noto Casinò attaccato sfruttando la vulnerabilità di un acquario alcuni parametri del quale erano controllati con dispositivi IP e il caso ancora di un “router” piazzato in un’azienda a insaputa dell’amministratore di rete che generava traffico illecito e non era mai stato rilevato in precedenza. Ecco, indubbiamente soprattutto in ambito Internet of Things è evidente come la soluzione Darktrace possa fare la differenza.

Darktrace – La consolle è accessibile da qualsiasi client, anche in mobilità

Darktrace in tutti questi casi è in grado anche di “ricostruire la scena del crimine” per offrire ai clienti la possibilità di vedere cosa è accaduto attimo dopo attimo.
Lo fa attraverso una consolle Web, che sfrutta i codici cromatici e grafici per offrire a colpo d’occhio ogni genere di informazione, e ovviamente non si esime da documentare – anche in questo caso sfruttando i colori per evidenziare attacchi riusciti, tentati e falliti – con i log ogni genere di evento.

Una vista della nuova app Darktrace

Il sistema rimane costantemente in apprendimento con tutti i riferimenti per calcolare la deviazione statistica rispetto ai comportamenti consueti, e dare visibilità totale. Enterprise Immune System è un sistema ovviamente del tutto scalabile, e si integra con un SIEM per valorizzare tutti gli investimenti già compiuti. Il modello di business si correla da una parte al numero dei dispositivi IP, al traffico e ai picchi di traffico e al numero di connessioni.

Tra le ultime novità di Darktrace di questi giorni l’arrivo della nuova app (arrivata alla seconda versione) per accedere alla consolle con qualsiasi device. La seconda release aggiunge nuove funzionalità che offrono ai team insight approfonditi e dettagliati sulle reti. Il nuovo aggiornamento consente una notifica e attenuazione delle minacce ancora più rapida, i mezzi per individuare posizioni esterne e un processo di autenticazione semplificato.

La lista delle novità include Opzioni di filtro e sorting migliorati; nuova possibilità di ricerca dei dispositivi per credenziali utente; la possibilità di localizzare connessioni esterne in Maps; il supporto di notifica in tempo reale per aggiornamenti più veloci e un processo di autenticazione semplificato.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore