La forza di un’organizzazione è spesso legata alla solidità della sua rete di fornitori. Tuttavia, quel legame di fiducia può trasformarsi in un punto debole quando un partner viene compromesso da attori malevoli. Un’email proveniente da un dominio legittimo – quello di un fornitore con cui scambiamo documenti, ordini o fatture ogni giorno – è difficilissima da riconoscere come minaccia.
Secondo recenti statistiche, si stima che più dell’80% delle organizzazioni abbia subito un incidente di sicurezza che ha coinvolto fornitori terzi.
È proprio qui che entra in gioco l’intelligenza artificiale di Darktrace/Email.
Riconoscere il “fuori carattere”: il cuore del rilevamento
A differenza dei tradizionali sistemi di protezione basati su regole, firme o liste di blocco, Darktrace utilizza l’intelligenza artificiale autoapprendente per comprendere cosa è “normale” nella comunicazione e identificare ciò che non lo è.
Ogni utente, gruppo e persino ogni relazione esterna viene analizzata nel tempo: chi scrive a chi, con quale frequenza, da dove, con che tono, e quali allegati o link vengono normalmente condivisi.
Quando arriva un’email da un fornitore compromesso, magari un messaggio contenente link a un falso portale di pagamento o un allegato manipolato, Darktrace rileva le deviazioni sottili ma decisive:
- differenze linguistiche rispetto al tono abituale del mittente;
- collegamenti a domini mai visti prima;
- orari o pattern di invio anomali;
- struttura del messaggio incongruente con le email precedenti.
A ognuna di queste comunicazioni viene assegnato un “anomaly score” da 0% a 100%, dove un valore alto indica un comportamento fortemente sospetto.
In base a questa valutazione, Darktrace può isolare l’email, metterla in quarantena o bloccarla prima che raggiunga l’utente finale.
Oltre il perimetro: protezione end-to-end dell’ecosistema email
La piattaforma Darktrace/Email non si limita a difendere la posta in arrivo. Analizza in modo continuo anche:
- la posta in uscita, per evitare la perdita accidentale o intenzionale di dati;
- i messaggi interni e di piattaforme come Microsoft Teams e Google Workspace, rilevando comportamenti anomali che potrebbero indicare compromissioni di account ;
- eventuali tentativi di spoofing o uso improprio del dominio aziendale, grazie alla nuova funzionalità AI-assisted DMARC, che blocca automaticamente tentativi di phishing provenienti da falsi indirizzi o spoof di terze parti.
Questa visione olistica consente di intercettare anche minacce laterali, come la propagazione interna di phishing o malware, spesso invisibili per le soluzioni tradizionali.
Automazione intelligente e coinvolgimento umano
Darktrace non solo blocca gli attacchi, ma fornisce un contesto completo alle decisioni che prende.
Gli utenti possono visualizzare banner contestuali che spiegano perché un’email è stata segnalata come sospetta o al contrario, riconosciuta come sicura. Il sistema spiega se, ad esempio, un dominio è nuovo, se un link è stato riscritto, o se il comportamento del mittente presenta elementi anomali.
Ciò offre un approccio educativo: i dipendenti imparano a riconoscere i segnali di rischio, riducendo gli errori umani che sono alla base di molti incidenti di sicurezza.
Caso reale: un attacco sventato nella supply chain
In un caso recente, Darktrace ha individuato una campagna in cui un fornitore di beni industriali era stato compromesso. Gli attaccanti inviavano email legittime in apparenza, contenenti richieste di aggiornamento bancario.
Il messaggio proveniva da un dominio realmente usato dal fornitore, ma con una leggera modifica nelle abitudini:
il tono era più urgente del solito, gli orari di invio insoliti, e i link puntavano verso un dominio di terzo livello registrato solo 48 ore prima.
Il motore di AI ha assegnato un’anomalia del 98%, classificando l’email come out of character. Darktrace/Email ha isolato automaticamente il messaggio, informando il team di sicurezza e impedendo qualsiasi interazione da parte dei destinatari.
Il fornitore è stato successivamente informato, evitando che l’attacco si propagasse ad altri partner commerciali.
La differenza: prevenzione dinamica e adattiva
Mentre le soluzioni tradizionali cercano di riconoscere minacce conosciute, Darktrace riconosce comportamenti insoliti.
Questa distinzione è fondamentale in un mondo dove:
- gli attacchi sono automatizzati e personalizzati grazie all’uso di AI generativa;
- gli schemi di comunicazione si evolvono di giorno in giorno;
- e il rischio non arriva solo “da fuori”, ma anche dai partner più fidati.
L’approccio adattivo di Darktrace consente di:
- ridurre del 70% il tempo medio di risposta nei team SOC ;
- bloccare minacce fino a 30 volte più rapidamente rispetto ai gateway email tradizionali ;
- offrire analisi contestuali automatiche con Cyber AI Analyst, che descrive in linguaggio naturale la catena causale di ogni incidente.
Conclusione
La sicurezza della supply chain non si limita più a proteggere i propri sistemi: deve includere la comprensione e la difesa contro comportamenti anomali provenienti dai partner.
Darktrace ridefinisce il concetto di “email security” con un modello basato non sulla previsione, ma sulla comprensione continua.
Un approccio che impara, evolve e reagisce in tempo reale — come un sistema immunitario digitale, progettato per difendere la tua azienda dai rischi più imprevedib
Informatics, ski racer, loves travels, Finland, Norway, mountains, squash, photography, Drones and RC Helicopter
RSS - Articoli
Commenti recenti