NDR: L’intelligenza artificiale dimostra la sua importanza per il consiglio dipartimentale del Tarn

Thursday 17th October 2024 11:26 PM

Responsabile della solidarietà, compresa l’autonomia, della manutenzione della rete stradale dipartimentale e degli istituti universitari, il consiglio dipartimentale del Tarn conta 2.300 agenti. Il suo sistema informativo copre un centinaio di sedi del dipartimento, tra cui una trentina di college, centri dipartimentali e snodi stradali.

“La caratteristica di un ente locale è che disponiamo di un’ampia varietà di professioni e di altrettanti programmi software specifici”, riassume Paul Charrière, CIO di CD81. Più precisamente “abbiamo una cinquantina di applicazioni aziendali nel nostro sistema informativo. Si tratta di un sistema informativo complesso, che fa affidamento su molteplici partner ed è soggetto a forti vincoli di sicurezza”.

“L’ultima panoramica sulla sicurezza informatica mostra che le autorità locali rappresentano il 23% degli attacchi. Siamo obiettivi viventi ed è questo che ci ha fatto interessare a un NDR. »

Paolo CharriereCIO del Consiglio dipartimentale del Tarn

Il dipartimento IT conta una quarantina di persone che devono gestire un parco di 6.000 postazioni di lavoro (se includiamo i college del dipartimento) e circa 400 server. La sicurezza informatica è una preoccupazione costante. Il consiglio dipartimentale è già stato oggetto di un grave attacco circa dieci anni fa e gli ultimi dati pubblicati dall’ANSSI non sono rassicuranti: “dall’ultimo quadro della sicurezza informatica emerge che gli enti locali rappresentano il 23% degli attacchi. Siamo obiettivi viventi ed è questo che ci ha spinto a interessarci a un NDR (Network Detection and Response).”

Sicurezza priva di un componente NDR

Di fronte a questa situazione, il dipartimento IT si è dotato di competenze interne di cybersecurity e ha investito per aumentare il livello di sicurezza della propria infrastruttura informatica. Sulle postazioni di lavoro e sui servizi è stato installato un EDR/XDR, nella periferia e nel sistema informativo sono stati installati firewall Palo Alto. Ha anche stipulato un contratto con IMS Networks per beneficiare dei servizi 24 ore su 24, 7 giorni su 7 di un servizio SOC gestito, ma Paul Charrière ha voluto andare oltre: “abbiamo ritenuto che rimanesse un “buco nel racket” in questo momento . che riguarda il monitoraggio della rete interna. Ci mancava questo mattone NDR, vale a dire uno strumento in grado di individuare eventuali elevazioni di privilegi o spostamenti laterali degli aggressori. L’idea è quella di cercare movimenti silenziosi”.

È stato durante un incontro con il suo fornitore di servizi IMS Networks che quest’ultimo ha discusso della soluzione NDR sviluppata da Custocy, uno spin-off di Tolosa allora in fase di creazione.

L’incontro con Sébastien Sivignon, fondatore e CEO di Custocy presso IMS Networks si rivelerà fruttuoso. L’approccio “matematico” del creatore della startup, ma anche il lato sovrano della sua soluzione, darà ragione al tolosano. Quando suggerì a Paul Charrière di allestire un dimostratore della sua soluzione, il CIO accettò con entusiasmo. L’NDR è stato impiegato nel IS all’inizio dell’estate 2023, quando la startup era ancora in fase di avvio. Il dimostratore è stato effettuato per 6 mesi, fino a dicembre 2023.

Per il CIO, l’idea è quella di rafforzare le soluzioni di protezione esistenti con una soluzione di analisi del traffico di rete, ma senza introdurre ulteriori sforzi in termini di amministrazione di una console di supervisione e di analisi degli eventi: “una delle nostre condizioni iniziali per questo progetto era non dover gestire una console di amministrazione troppo complessa e dispendiosa in termini di risorse e integrarla nel nostro SOC”, spiega il CIO. Il team SOC di IMS Networks aveva le competenze interne per gestire gli NDR oltre ai log del server, quelli dell’XDR, e tutto è gestito dal team SOC in outsourcing.

6 mesi per valutare l’approccio e la soluzione

Col senno di poi, gli eventi generati dalla soluzione non hanno aumentato il conto del SOC gestito. Il segreto della soluzione Custocy è fare affidamento su una “comunità AI”, diversi modelli di intelligenza artificiale, per rilevare i movimenti dannosi di un aggressore sulla rete.

“Le IA devono apprendere il funzionamento nominale della rete prima di poter attivare gli avvisi, motivo per cui ci siamo concessi sei mesi per completare questo PoC. »

Paolo CharriereCIO del Consiglio dipartimentale del Tarn

“Crediamo fortemente nell’utilizzo dell’AI per questo tipo di rilevamento”, spiega Paul Charrière: “la particolarità dell’AI è che non è operativa “out of the box”; ci vuole tempo per imparare la rete. Le IA devono apprendere il funzionamento nominale della rete prima di poter attivare gli avvisi, motivo per cui ci siamo concessi sei mesi per completare questo PoC”.

L’altro punto chiave affinché la tecnologia mantenga le sue promesse è posizionare le sonde nei punti più rilevanti del sistema informativo. Stéphane Navarro, responsabile delle infrastrutture del dipartimento del Tarn, spiega: “l’implementazione della soluzione non è stata un progetto molto complicato. Custocy fornisce un server, un apparecchio completo dotato di porte in fibra che colleghiamo alle nostre apparecchiature di rete in punti strategici. Questo è un semplice mirroring delle porte e tutto il traffico viene inviato all’intelligenza artificiale. “Analizza questo traffico per 2 o 3 mesi prima di essere pienamente operativo.”

Gli incontri avuti con la Custodia all’inizio di questa fase di apprendimento hanno permesso rapidamente di filtrare tutti i falsi positivi. Ogni applicazione ha il proprio comportamento di rete, l’algoritmo deve imparare a riconoscerli: “Ho potuto vedere che il tempo di apprendimento dell’IA è in definitiva molto limitato per scoprire questi comportamenti”, sottolinea Stéphane Navarro.

“Ho potuto vedere che il tempo di apprendimento dell’IA è in definitiva molto limitato per scoprire questi comportamenti. »

Stefano NavarroDirettore delle infrastrutture, dipartimento del Tarn

Dal suo punto di vista, “questa fase realizzativa non è stata molto complessa e le richieste espresse dalla Custodia per eliminare i falsi positivi sono state evase in tempi molto rapidi”.

Il manager sottolinea l’importanza da dare alla scelta dei punti della rete su cui la soluzione potrà catturare il traffico: “abbiamo voluto monitorare tutto il traffico e non abbiamo cercato di dare priorità a questo o quel traffico critico. Poiché non conosciamo a priori la strategia dell’aggressore, riteniamo che tutto debba essere analizzato. Abbiamo porte chiave nella nostra rete e abbiamo eseguito il mirroring di queste porte. Ciò rappresenta una quantità significativa di traffico di rete, ma l’intelligenza artificiale consente di analizzare questi grandi volumi di dati senza causare un carico di lavoro eccessivo per il team SOC”.

L’intelligenza artificiale dimostra la sua capacità di rilevamento senza indurre rumori indesiderati

Un test di intrusione effettuato internamente ha permesso al team IT di constatare che l’NDR era in grado di riportare una certa quantità di informazioni interessanti in caso di tentativo di intrusione.

Da quando l’NDR è entrato in produzione all’inizio del 2023, non è stato segnalato alcun attacco importante da parte della soluzione. Custocy ha appena aggiornato la sua piattaforma, fornendo una nuova versione del suo ambiente: “questo aggiornamento ci porterà a riconsiderare i punti di ancoraggio della soluzione nella nostra infrastruttura”, spiega il CIO che vuole liberare più tempo per il suo team per migliorare le proprie competenze su molti dei propri strumenti di sicurezza, tra cui NDR Custocy.

Oltre all’efficacia della soluzione, Paul Charrière apprezza la vicinanza di Custocy, la cui squadra rimane molto accessibile, ma anche la necessità di favorire soluzioni sovrane: “dobbiamo aiutare le nostre pepite a lanciarsi e guadagnare slancio su questi temi. Questa è una dimensione della sovranità che per me è molto importante”, conclude il CIO.