Secure Access Service Edge, o SASE, combina rete e sicurezza in un servizio basato su cloud e sta crescendo rapidamente. Secondo le stime di Gartner, infatti, la spesa delle aziende in soluzioni SASE raggiungerà quasi 7 miliardi di dollari quest’anno, rispetto a meno di 5 miliardi nel 2021. Gartner prevede inoltre che oltre il 50% delle organizzazioni avrà strategie per adottare SASE entro il 2025, rispetto a meno del 5% nel 2020.

I cinque componenti principali dello stack SASE sono SD-WAN, firewall-as-a-service (FWaaS), Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) e Zero Trust Network Access (ZTNA). C’è anche una sesta tecnologia chiave che sta giocando sempre più un ruolo importante in ogni aspetto di SASE, ed è l’intelligenza artificiale. “È qualcosa su cui stanno lavorando la maggior parte, se non tutti, i fornitori di SASE”, afferma l’analista di Gartner Joe Skorupa.

Il fatto che i fornitori SASE siano già presenti su alcune delle più grandi raccolte di dati relativi alla rete e alla sicurezza informatica del pianeta aiuta. “Alcuni fornitori lungimiranti hanno iniziato a raccogliere questi dati anche prima che l’IA e gli algoritmi di machine learning (ML) fossero completamente sviluppati”, continua Skorupa. “Alcuni dei fornitori con cui ho parlato sul lato SD-WAN stavano creando i loro data lake cinque anni fa, sapendo che sarebbe stati preziosi anche se non potevano creare le funzionalità di ML che desideravano allora”

Poiché raccolgono dati globali sulle minacce di rete e sicurezza informatica, i fornitori SASE possono apprendere più velocemente rispetto alle singole aziende che lavorano con i propri set di dati limitati. Di conseguenza, l’intelligenza artificiale e il machine learning utilizzati dai fornitori di SASE hanno il potenziale per diventare più intelligenti e veloci rispetto a quanto messo in campo dalle singole aziende, in particolare quelle di piccole e medie dimensioni.

Gartner prevede che l’intelligenza artificiale e le capacità di automazione diventeranno caratteristiche chiave che le aziende cercheranno sempre più spesso quando dovranno scegliere un fornitore SASE. Sebbene molte di queste capacità siano ancora in fase di sviluppo, ecco alcune funzionalità legate all’IA che stanno prendendo sempre più piede in ambito SASE.

Riduzione degli avvisi di falsi positivi

Il College of Southern Nevada ha dovuto supportare più di 40.000 studenti remoti, docenti e personale da un giorno all’altro a causa della pandemia e, come hanno fatto molte aziende in quel periodo , è passato a SASE per facilità di implementazione e scalabilità. Una migliore sicurezza è stata un bonus gradito, in particolare il modo in cui il sistema ha ridotto gli avvisi di falsi positivi utilizzando l’IA, afferma Mugunth Vaithylingam, chief experience officer del college.

“Il nostro provider SASE, Open Systems, utilizza l’intelligenza artificiale per eliminare i falsi allarmi positivi, da cui eravamo letteralmente inondati”, afferma Vaithylingam. “Ora, invece di essere sopraffatti (e talvolta paralizzati) da tutti questi avvisi, la nostra rete interna e i team di sicurezza possono concentrarsi sulle proprie attività con un’efficienza notevolmente maggiore”.

Exclusive Netwotks Fortinet SASE SD-WAN

Vaithylingam non è comunque il solo ad aver avvertito questa “alert fatigue”. In generale anche gli analisti di sicurezza stanno avendo non poche difficoltà nel gestire l’elevato volume di avvisi che devono gestire quotidianamente. In un sondaggio globale su 800 professionisti IT pubblicato lo scorso marzo dalla società di sicurezza cloud Orca Security, il 60% dei rispondenti ha affermato di ricevere più di 500 avvisi di sicurezza cloud ogni giorno e tale volume di lavoro ha fatto sì che il 55% degli intervistati perdesse avvisi critici su base giornaliera o settimanale.

Orange Cybersecurity, un’azienda di sicurezza informatica che elabora più di 60 miliardi di eventi di sicurezza ogni giorno, l’anno scorso ha analizzato quasi 100.000 incidenti di sicurezza informatica e ha scoperto che il 40% era rappresentato da falsi positivi. Open Systems utilizza l’IA per la sicurezza e il rilevamento di anomalie degli incidenti e per classificare gli incidenti. I principali vantaggi di ciò sono un aumento del tasso di rilevamento insieme a una drastica riduzione del tasso di falsi positivi.

Analisi e riparazione della rete

Nel quadro generale, le aziende si stanno muovendo verso reti autonome che sfruttano l’intelligenza artificiale e il machine learning per prendere decisioni con un intervento umano minimo o nullo. In un ambiente SASE, ad esempio, ciò potrebbe assumere la forma di un’analisi automatizzata del traffico di rete.

Una soluzione SD-WAN che utilizza l’intelligenza artificiale può tenere traccia dei picchi di traffico per evitare problemi di prestazioni. Potrebbe anche suggerire che un’azienda dovrebbe ordinare più larghezza di banda per un particolare collegamento o filiale, o che dovrebbe aggiornare le sue policy di gestione del traffico, afferma Skorupa di Gartner. “Grazie all’analisi automatizzata del traffico di rete, queste aziende potrebbero spostare un po’ di traffico da quel particolare collegamento e liberare ciò di cui hanno bisogno senza dover acquistare più larghezza di banda“.

Una rete basata sull’intelligenza artificiale potrebbe spostare i carichi di lavoro o spostare l’accesso degli utenti quando un livello di servizio non viene soddisfatto, aggiunge Abe Ankumah, vicepresidente della gestione dei prodotti per VMware SASE. “Potrebbe anche prendere decisioni di routing globali o indirizzare il traffico verso una risorsa applicativa diversa o un cloud diverso”.

Skorupa mette in guardia sul fatto che guadagnarsi la fiducia dei clienti sarà una sfida a lungo termine. Le operazioni non delegheranno tutto agli algoritmi. “Dovete dimostrare come fornitori di offrire informazioni preziose e che le modifiche suggerite saranno importanti per la rete”.

Manutenzione predittiva

La manutenzione predittiva è già diventata popolare in altre applicazioni per l’IA. Ad esempio, nella produzione, è uno dei principali casi d’uso, secondo il rapporto sullo stato dell’IA del 2021 di McKinsey pubblicato a dicembre. Senza dimenticare che nel monitoraggio delle prestazioni della rete sono l’intelligenza artificiale, l’analisi predittiva e il machine learning a stimolare la crescita del mercato, secondo un rapporto pubblicato da Persistence Market Research.

Analisi del comportamento di utenti ed entità

I fornitori SASE hanno accesso a molti dati, che possono utilizzare per stabilire una linea di base su come gli esseri umani e i dispositivi dovrebbero agire all’interno di una rete, il che può aiutare sia nell’autenticazione, sia nell’individuazione di attività sospette. “Dal punto di vista della rete, è necessario garantire l’identità delle entità che si connettono alla rete” afferma Trent Fierro, senior marketing manager per il marketing delle soluzioni cloud e AIOps presso Aruba.

I modelli di intelligenza artificiale possono identificare rapidamente il tipo di endpoint che si connette a una rete, profilare ogni client che accede a una rete e fornire agli esperti di sicurezza una consapevolezza di ciò che c’è nelle loro reti, afferma Fierro. Aruba dispone della telemetria di oltre 120.000 siti di clienti, 120 milioni di client endpoint e di quasi 2 milioni di dispositivi infrastrutturali con i quali addestrare i suoi modelli.

Rilevamento di anomalie

Il rilevamento delle anomalie è un tipo di algoritmo di machine learning che rileva l’attività che non si adatta ai normali schemi. È uno dei maggiori casi d’uso dell’IA nella sicurezza informatica e può essere estremamente efficace se utilizzato con i grandi set di dati di rete e sicurezza informatica dei fornitori SASE.

“L’intelligenza artificiale è immensamente preziosa se utilizzata per rilevare comportamenti che non sono intrinsecamente buoni o cattivi, ma sono difficili da rilevare con le tecniche tradizionali” afferma Aaron Sant-Miller, data scientist presso la società di consulenza informatica Booz Allen Hamilton. “Quando i risultati vengono forniti agli analisti, questi possono esaminare le informazioni e decidere se una minaccia dannosa si sta spostando lungo la cyber kill chain”.

Tuttavia, non tutti i comportamenti anomali sono facilmente classificabili. “I sistemi di rilevamento delle anomalie sono spesso in difficoltà perché molti comportamenti anomali sono benigni e non intrinsecamente dannosi”, afferma Sant-Miller. “Questo può aumentare i tassi di falsi positivi per gli analisti, alimentando la sfiducia nell’IA”. Inoltre, i comportamenti su una rete sono determinati da come questa è configurata; prendere quindi una capacità di intelligenza artificiale creata per i dati di una rete specifica ed eseguirla su un’altra rete può causare falsi positivi.

Data Loss Prevention

La Data Loss Prevention (DLP) non è una funzionalità di base di SASE, ma è quella che molti fornitori SASE hanno recentemente aggiunto o sono in procinto di aggiungere alle loro offerte. DLP impedisce che i dati sensibili vengano esfiltrati dai sistemi di un’azienda da parte di aggressori esterni o di insider malevoli.

Se potenziati con l’intelligenza artificiale, gli strumenti DLP possono identificare i dati che sono stati deliberatamente offuscati per superare semplici filtri basati su parole chiave. La minaccia interna è uno dei maggiori problemi che le aziende devono affrontare oggi afferma Krishna Naraynaswamy, Chief Technology Officer di Netskope.

“I dipendenti che si apprestano a lasciare un’azienda tendono a portarsi dietro informazioni sensibili come documenti di progettazione e codice a cui hanno contribuito mentre lavoravano in quell’azienda” L’intelligenza artificiale può tenere traccia delle informazioni sensibili che una persona ha già in suo possesso, anche se un file viene portato al di fuori della rete di un’azienda.

Ma l’IA può fare di più per impedire ai dati di lasciare un’azienda. Può anche negare l’accesso a quei dati in primo luogo. Gli algoritmi di intelligenza artificiale possono mantenere un punteggio di rischio per ogni utente, simile a un punteggio di credito, e inserire il punteggio nelle policy di accesso zero-trust, afferma Naraynaswamy. “A un utente con un punteggio scarso può essere negato l’accesso ai dati sensibili”.

Alcuni fornitori SASE includono soluzioni DLP negli agenti che gli utenti finali hanno in esecuzione sui loro computer, afferma Skorupa di Gartner. Quindi, ad esempio, se un utente malintenzionato prova a fare uno screenshot di un foglio di calcolo per rubare i dati, viene bloccato. Non tutti i fornitori SASE offrono ancora questa tecnologia, ma il loro numero è in continua crescita.

gtt-networks-sase

Identificazione e prevenzione degli attacchi zero-day

I tradizionali sistemi di rilevamento delle intrusioni sono efficaci nel rilevare le vulnerabilità note e possono impedire che lo stesso attacco si ripeta, ma possono essere lenti a rispondere alle nuove minacce. “È sempre più facile prevenire un attacco che è già accaduto” afferma Anand Oswal, vicepresidente senior di Palo Alto Networks.

Addestrando modelli di IA con tutte le vulnerabilità e gli exploit noti, gli attacchi che non si sono ancora verificati possono essere scoperti e fermati immediatamente e molti nuovi attacchi sono versioni diverse di minacce precedentemente note. Circa il 90% dei malware sono in realtà variazioni di malware esistenti, afferma Oswal. “Possiamo quindi utilizzare il nostro motore di intelligenza artificiale per fermare questo malware sfruttando i modelli di machine learning e bloccandolo in tempo reale”.

Mitigazione DDoS

La continua crescita dei dispositivi connessi non protetti, il passaggio a reti 5G ad alta velocità e l’espansione del settore DDoS-as-a-service si stanno combinando per creare una tempesta perfetta quando si tratta di attacchi DDoS (Distributed Denial-of-Service) .

La società di ricerca Spamhaus ha riportato oltre 3.200 server di comando e controllo botnet nel quarto trimestre del 2021, rispetto a meno di 1.400 nel quarto trimestre del 2020. A gennaio, Microsoft ha segnalato il più grande attacco DDoS mai registrato (3,47 terabit al secondo e una velocità di 340 milioni di pacchetti al secondo). Nel frattempo, la scorsa estate Cloudflare ha riportato un attacco volumetrico da record con 17 milioni di richieste al secondo (quasi tre volte più grande di qualsiasi attacco che l’azienda avesse visto prima).

Con un attacco diretto come un DDoS, le aziende devono disporre di algoritmi che mitighino molto rapidamente la minaccia, afferma Skorupa. La mitigazione DDoS è una funzionalità comune offerta dai fornitori SASE ed è anche una delle cose più facili da gestire per le aziende che si affidano all’IA.

Alleggerimento della responsabilità per gli analisti di sicurezza

Quando le attività ripetitive e di routine possono essere gestite dall’IA, gli analisti di sicurezza possono dedicare il loro tempo a questioni più complicate. L’intelligenza artificiale funge da moltiplicatore di forza che potenzia il lavoro di un professionista della sicurezza apprendendo le sue tendenze e preferenze e aiutandolo a completare il proprio lavoro quotidiano in modo più efficiente, afferma Colin Friedman, data scientist di Booz Allen Hamilton.

“L’obiettivo è supportare l’adozione dell’IA in modo che le persone possano dedicare la propria attenzione alle cose che richiedono le loro competenze e meno a quelle attività ripetitive che consumano tempo prezioso. Ma l’IA non è ancora pronta per funzionare senza l’intervento umano. “Non penso che siamo arrivanti ancora al punto in cui l’IA ha soppiantato completamente l’intervento umano e sinceramente non vorrei nemmeno arrivarci”, afferma Friedman.

I veri vantaggi dell’IA devono ancora arrivare

Guardando al futuro, il vero valore dell’IA per le applicazioni SASE deve ancora arrivare e ciò accadrà quando i fornitori saranno in grado di offrire l’osservabilità dell’intero stack dei loro sistemi, afferma Ron Howell, architetto e ingegnere per SD-WAN e SASE presso la società di consulenza Capgemini Americas.

“Alcuni fornitori di SASE stanno iniziando a includere funzionalità di intelligenza artificiale in AIOps e misurazione. Tuttavia, molte delle soluzioni SASE non sono ancora pronte per l’intelligenza artificiale o per l’osservabilità dell’intero stack”.

L’intelligenza artificiale è ancora nelle sue fasi iniziali in quasi tutte le soluzioni SASE, continua Howell. “Il potenziale a lungo termine è una rete protetta end-to-end proattiva come servizio”. Allo stesso tempo, le stesse aziende sono ancora riluttanti a fidarsi dell’IA per prendere decisioni chiave. “Non possono permettersi tempi di inattività se qualcosa va storto. Anche se l’intelligenza artificiale è preziosa, abbiamo comunque bisogno di buoni ingegneri che prendano decisioni solide e ponderate”.