I team di sicurezza hanno un compito importante e complesso: proteggere le proprie aziende da un panorama di minacce in costante evoluzione. In base alle analisi condotte dal nostro team di threat intelligence Unit 42, sappiamo che i cybercriminali stanno realizzando attacchi end-to-end in modo più rapido, passando dalla compromissione iniziale all’esfiltrazione dei dati in poche ore. Considerando che le aziende impiegano in media 5,5 giorni per contenere un incidente una volta individuato, la pressione sui team di sicurezza aumenta affinché risolvano il problema il più velocemente possibile.
È importante riconoscere che i team di security hanno svolto attività significative nel corso degli anni, cercando di reagire all’evoluzione del panorama delle minacce. Hanno investito molto, costruendo complessi security operations center (SOC) che si avvalgono di numerosi strumenti di protezione per generare e raccogliere grandi quantità di dati in tutta l’azienda.
Tuttavia, seppur spinti dalle migliori intenzioni, ci sono alcuni problemi essenziali nel modo in cui i SOC moderni sono stati realizzati. Nonostante tool di sicurezza e accesso a tutti i dati necessari, i SOC impiegano ancora troppo tempo per rilevare le minacce e serve ancora più tempo per rimediare agli incidenti quando vengono individuati. Riteniamo che questi problemi possano essere ricondotti a tre aree fondamentali:
– Strumenti e dati in silo – I SOC di oggi si basano su una serie di strumenti eterogenei che eseguono funzioni di sicurezza specifiche (protezione degli endpoint, automazione, gestione di incidenti e di eventi, ecc.), con console diverse e dati archiviati separatamente. I team di sicurezza cercano di risolvere il problema con SIEM o integrazioni, che però si traducono in una crescente complessità operativa del SOC.
– Debole difesa dalle minacce – Le aziende generano molti dati: eventi endpoint e dell’infrastruttura cloud, traffico di rete, registri di gestione delle identità e degli accessi e dati applicativi, per citarne alcuni, e tutti contengono informazioni su attività sospette o pericolose. Sfortunatamente, affidarsi esclusivamente a regole di correlazione statiche o a un esteso lavoro di engineering del rilevamento consente di individuare solo una parte di queste attività e probabilmente darà luogo a falsi positivi significativi, traducendosi nell’incapacità di bloccare le minacce su larga scala.
– Forte dipendenza dalle attività manuali – Quando si combinano troppi strumenti e una debole difesa dalle minacce, i SOC vengono sommersi da un numero elevato di avvisi imprecisi e disconnessi da elaborare, complicando la prioritizzazione e facendo sì che molti avvisi importanti vengano ignorati o trascurati. Analisi e risoluzioni manuali degli avvisi richiedono troppo tempo, traducendosi in una lenta remediation degli incidenti.
Attività di sicurezza efficaci richiedono un nuovo approccio focalizzato su semplificazione, intelligenza artificiale e automazione, affinché i team possano operare in modo efficiente, con tecnologie performanti che mitighino le pressioni e semplifichino i processi.
Una piattaforma innovativa in grado di far convergere le capacità SOC, sfruttando l’AI per una protezione accurata e applicando un approccio automation-first, può semplificare le operazioni di sicurezza, bloccare le minacce su scala e accelerare la risoluzione degli incidenti.