Per le grandi organizzazioni istituire un SOC, o Security Operations Center, è una risposta coerente all’incremento e alla sofisticazione delle cyberminacce. Secondo una ricerca di Kaspersky, un terzo delle imprese costruisce un SOC per gestire i rischi relativi alla sicurezza informatica. Ad ogni modo, in questo processo, le organizzazioni spesso affrontano numerosi ostacoli che mettono a repentaglio la produttività delle loro operazioni di sicurezza. Alcuni di questi ostacoli possono essere la carenza di professionisti qualificati, la scarsa automazione e integrazione tra vari strumenti, l’elevato numero di alert e la mancanza di visibilità e contesto .
Un sondaggio condotto dall’istituto SANS, tra gli specialisti che lavorano nei SOC ha rivelato la loro insoddisfazione rispetto alle performance di questi centri e anche una visione poco chiara su come migliorarle.
Per questo motivo, la nuova offerta integrata di Kaspersky per i SOC inizia da un’analisi delle esigenze specifiche dei clienti e dei loro punti deboli, in modo da offrire i prodotti e i servizi di cui hanno bisogno. Tutto ciò include Kaspersky EDR, Kaspersky Anti Targeted Attack, Kaspersky Threat Intelligence e il portfolio Kaspersky Cybersecurity Training, insieme al supporto continuo dei team di esperti di threat hunting e rapide response a livello mondiale.
Individuare ed eliminare i punti deboli
I punti deboli nella protezione di un’azienda non si trovano sempre all’interno dell’infrastruttura, ma spesso vengono rilevati nei suoi processi. Questi possono essere alert a cui viene assegnata una priorità errata o problemi di comunicazione quando gli analisti trasmettono le informazioni relative a un alert dopo un ritardo o in modo non esauriente. A causa di queste problematiche, i cybercriminali riescono a rimanere nell’anonimato più a lungo aumentando le probabilità di un attacco di avere successo.
Questo è il motivo per cui Kaspersky, insieme al sevizio di Penetration Testing ha presentato una valutazione ad hoc delle operazioni di sicurezza esistenti dei clienti: si tratta di Red Teaming, una simulazione di attacchi malevoli guidati dalla threat intelligence. Gli esperti di Kaspersky determinano il modo in cui i criminali si comporteranno basandosi sulle caratteristiche specifiche del cliente come il settore, il Paese e il mercato e imitando le loro azioni, sono in grado di valutare i SOC e la velocità dei team di incident response nel rilevare e prevenire l’attacco. La valutazione delle capacità del team difensivo è seguita da workshop che illustrano le lacune nei processi difensivi e le raccomandazioni su come migliorarle.
Colmare i gap esistenti nella preparazione dei SOC
Costruire e mantenere un SOC è un processo a lungo termine, costellato di numerose lacune e difficoltà che possono emergere lungo il percorso. Kaspersky fornisce assistenza nell’identificazione dei principali problemi e offre soluzioni e servizi completi per risolverli:
- Kaspersky Threat Intelligence fornisce ai team dei SOC informazioni sulle tattiche e le tecniche che i criminali usano a proprio vantaggio. Questi servizi includono: Kaspersky Threat Data Feeds, Kaspersky APT Intelligence Reporting, Kaspersky Financial Threat Intelligence Reporting, Kaspersky Threat Intelligence Portal (uno strumento web che offre accesso a Cloud Sandbox e Threat Lookup, con le informazioni sulle minacce raccolte dall’azienda a partire da quelle storiche fino alle più recenti) e Tailored Threat Intelligence Reporting, che delinea un quadro completo delle minacce specifiche per il cliente.
- Kaspersky CyberTrace, uno strumento di fusione e analisi di threat intelligence, migliora e accelera la definizione delle priorità e la risposta iniziale agli alert in arrivo facendo il match dei log trasmessi da un sistema SIEM (security information and event management) con qualsiasi feed di threat intelligence utilizzate in un SOC. Lo strumento valuta l’efficacia di ciascun feed e fornisce una “situational awareness” in tempo reale, consentendo agli analisti di prendere decisioni tempestive e meglio informate.
- I programmi Kaspersky Cybersecurity Training sull’analisi del malware, la digital forensics, la risposta agli incidenti e il rilevamento delle minacce aiutano i SOC ad accrescere la loro competenza interna in queste aree, consentendo una risposta rapida ed efficace agli incidenti complessi.
- Con i servizi Kaspersky Managed Protection e Incident Response, i SOC possono esternalizzare o integrare le loro capacità esistenti di investigazione, di risposta e di threat hunting, se non dispongono di determinate competenze o di specialisti interni.
- Le soluzioni di difesa avanzata di Kaspersky si basano su un’unica piattaforma tecnologica, Kaspersky Anti Targeted Attack e Kaspersky EDR. Sono orientate alle minacce complesse e contribuiscono a rafforzare il SOC, consentendo un’analisi più approfondita e una risposta più rapida agli incidenti. Le soluzioni forniscono l’automazione dei processi di difesa, compresi il rilevamento, l’analisi e la risposta agli attacchi e la piena visibilità dell’infrastruttura, e servono come fonti di log rilevanti per un sistema SIEM, che fornisce agli analisti del SOC il tempo e le risorse per cercare proattivamente le minacce e rispondere a incidenti più complessi.
Come riferito in una nota ufficiale da Venimin Levtsov, VP, Corporate Business di Kaspersky: «La gestione di un SOC non si riduce all’implementazione di un SIEM. Per essere efficace, dovrebbe essere affiancata da processi, ruoli e playbook pertinenti. Dovrebbe anche essere attrezzata con connettori per i log e fonti di eventi e regole di correlazioni efficaci, ed essere alimentata da threat intelligence. Se gli ostacoli principali non vengono compresi i CISO non possono delineare una tabella di marcia di sviluppo del SOC. Ecco perché analizziamo attentamente le esigenze e i punti critici del cliente, valutiamo la maturità dei sistemi di sicurezza informatica esistenti e identifichiamo le lacune in modo da poter consigliare le soluzioni e i pacchetti di servizi ottimali».