Nel panorama della cybersecurity, il modello tradizionale di Security Information and Event Management (SIEM) si è finora basato in gran parte sulle competenze dei tecnici in sede—dalla configurazione e gestione delle dashboard, all’analisi degli alert, all’attività di threat hunting, fino all’interpretazione dei singoli eventi. Oggi, questa dipendenza dai processi manuali rischia di rallentare e sovraccaricare le risorse disponibili, mettendo sotto pressione i team dei Security Operations Center (SOC). In questo scenario, l’intelligenza artificiale si sta affermando come la via più promettente per cambiare le regole del gioco a proprio favore.
Elastic Security risponde a questa esigenza con la piattaforma Elastic Search AI, che mira a sostituire l’approccio manuale del SIEM con un sistema automatizzato e accurato, in grado di rilevare rapidamente eventi rilevanti di cybersecurity. Questa nuova generazione di soluzioni combina tecnologie avanzate come la ricerca intelligente e il Retrieval Augmented Generation (RAG), garantendo risultati contestualizzati, pertinenti e aggiornati.
Dal SIEM tradizionale allo Smart SOC
Dal lancio di Elastic Security for SIEM nel 2019, Elastic ha progressivamente perfezionato la propria offerta aggiungendo oltre 100 modelli di machine learning (ML) preconfigurati, progettati specificamente per rilevare minacce precedentemente sconosciute. Tuttavia, il vero punto di svolta è arrivato lo scorso anno con il lancio dell’Elastic AI Assistant—uno strumento pensato per assistere gli analisti SOC nella scrittura delle regole, nel riepilogo degli alert e nella gestione dei flussi di lavoro.
Ora Elastic compie un ulteriore passo avanti con Elastic Attack Discovery, una nuova funzionalità (attualmente in attesa dell’approvazione definitiva del brevetto) che integra l’AI nel cuore delle attività investigative dei SOC.
Elastic Attack Discovery, nuova frontiera con l’AI
Ciò che distingue Elastic Attack Discovery è la capacità di ridurre centinaia o migliaia di alert a pochi eventi davvero critici con un solo clic. Questo approccio sfrutta le capacità di ricerca ibrida della piattaforma Elastic Search AI e le combina con la potenza dei LLM (Large Language Models). Il risultato è una soluzione in grado di recuperare rapidamente le informazioni più rilevanti—come i punteggi di rischio degli asset e degli utenti, la gravità degli alert e le descrizioni dettagliate degli eventi—e usarle per valutare e prioritizzare automaticamente gli incidenti. Questa capacità elimina la necessità per le organizzazioni di costruire e mantenere LLM personalizzati per ogni contesto interno, evitando la necessità continua di aggiornamenti e riaddestramento.
Benefici immediati per i SOC
Elastic Attack Discovery consente ai SOC di concentrarsi sugli attacchi più rilevanti anziché su alert isolati. Come spiega Santosh Krishnan, General Manager di Elastic Security:
“Molti SOC ricevono migliaia di alert ogni giorno, ma una grande parte di questi è irrilevante o rappresenta falsi positivi. Questo lavoro ripetitivo non solo consuma tempo prezioso, ma aumenta anche il rischio di errore umano”.
Con la soluzione di Elastic, gli analisti possono dedicare meno tempo al filtraggio manuale degli alert e più tempo alla risposta operativa—migliorando velocità e precisione nelle azioni preventive o di mitigazione. In pratica, Elastic Attack Discovery non solo riconosce e raggruppa gli alert rilevanti, ma ricostruisce automaticamente anche la catena dell’attacco, offrendo un contesto preciso che abilita interventi immediati e mirati.
Un ulteriore vantaggio chiave dell’approccio Elastic è il suo design LLM-agnostico, che consente alle organizzazioni di utilizzare modelli diversi senza essere vincolate a una soluzione proprietaria. La piattaforma offre inoltre funzionalità automatiche di anonimizzazione e mascheramento dei dati, garantendo la conformità alle normative sulla privacy e la protezione delle informazioni sensibili aziendali.
Elastic Attack Discovery e AI Assistant supportano Google Cloud Vertex AI
L’evoluzione di Elastic Security prosegue con il supporto all’integrazione con Google Cloud Vertex AI e con il modello Gemini, annunciato solo pochi mesi fa. Questa collaborazione consente ai professionisti della sicurezza di espandere ulteriormente la propria scelta di LLM, offrendo funzionalità avanzate per il triage automatico degli alert, la contestualizzazione delle indagini, la gestione della risposta, la generazione di regole e query di rilevamento e il threat hunting.
Santosh Krishnan sottolinea: “Questa nuova integrazione con il modello Gemini 1.5 di Google Cloud, tramite la piattaforma Vertex AI, rafforza ulteriormente il nostro impegno nella semplificazione dei flussi di lavoro di sicurezza, migliorando in modo significativo la capacità degli analisti di comprendere e rispondere alle minacce”.
Grazie a questa partnership, Elastic Security può ora sfruttare la capacità estesa di token di Gemini 1.5—fino a 2 milioni di token—garantendo una comprensione più profonda e contestuale degli incidenti. L’integrazione permetterà agli analisti di sicurezza di ridurre drasticamente il rumore informativo e di concentrarsi esclusivamente sull’analisi delle minacce efficaci.
Inoltre, Elastic Security Labs continuerà a sviluppare e perfezionare regole di rilevamento ottimizzate specificamente per Vertex AI e altre tecnologie d’avanguardia, assicurando che le soluzioni Elastic Security mantengano un vantaggio competitivo nel panorama della cybersecurity.
L’integrazione con Google Cloud Vertex AI e Gemini 1.5 è già disponibile a partire dalla versione 8.15 di Elastic Security.
Elastic Security Labs continuerà a potenziare queste regole di rilevamento per massimizzare il potenziale di Vertex AI e di altre tecnologie di fascia alta. Questo impegno continuo garantisce che Elastic Security resti all’avanguardia, offrendo strumenti potenti ed efficienti per anticipare e contrastare le minacce informatiche in evoluzione.
Per saperne di più scarica il whitepaper: Generative AI for Cybersecurity, An Optimistic but Uncertain Future
Non perdere tutti gli approfondimenti della room Elastic The Search AI Company
© RIPRODUZIONE RISERVATA
