Si stanno osservando minacce sempre più complesse che impattano perimetri molto ampi, con particolare impiego di tecniche, tattiche e procedure di attacco che non usano artefatti con lo scopo di essere invisibili ai sistemi di difesa. Scenari di questo tipo sono i più complessi da affrontare, sia per la relativa novità, sia perché una difesa basata solo sul respingimento non è adeguata, non è possibile attende un allarme bensì è necessario creare uno scenario nel quale l’anomalia esista. Si tratta di un approccio basato sull’analisi di una vastissima mole di metadati che rappresentano logicamente le telemetrie dell’intera infrastruttura. Soluzioni di machine learning in grado di creare modelli previsionali ma, soprattutto, la possibilità di istruire l’IA con le politiche dell’organizzazione stessa generando un modello comportamentale che viene monitorato. In questo scenario la rilevazione delle TTPs del framework MITRE ATTACK risulta più efficace. Per realizzare una difesa basata su un framework avanzato di questo tipo (UBA+MITRE) è necessario associare tecnologie ampiamente conosciute (NGAV, EDR, NDR) a strategie di rilevamento differenti (UBA+DECEPTION) e controllo della «posture» di sicurezza degli ambienti cloud. Al contempo non è possibile ignorare il vantaggio che talento e intuito umano possono apportare e dotare gli analisti, attivi in 247) di una completa visibilità attraverso analisi forense e raccolta di informazioni necessarie per l’investigazione (TELEMETRIE + LOG). Last but not least, direbbero gli inglesi, le procedure, ossia i protocolli di risposta ad una minaccia: alert handling, threat hunting, incident response ben documentati, disponibili 247 e curati da personale estremamente preparato; possibilmente racchiusi in PLAYBOOK, in modo che la risposta avvenga automaticamente in un scenario chiaro e l’analista intervenga solo per controllo, per verifica o in casi gravi.