Una nuova ricerca sull’efficacia del rilevamento delle minacce (Threat Detection Effectiveness Survey) è stata presentata da RSA, Security Division di EMC. L’analisi è stata realizzata su un campione di oltre 160 intervistati a livello globale, con l’obiettivo di permettere ai partecipanti di auto-valutare l’efficacia delle loro organizzazioni nel rilevamento di cyber minacce. I risultati forniscono uno spaccato sulle tecnologie utilizzate dalle organizzazioni, il loro impegno in questo ambito, nonché il livello di soddisfazione rispetto agli strumenti attualmente a disposizione. Inoltre, agli intervistati è stato chiesto su quali nuove tecnologie hanno in programma di investire e come intendono evolvere le loro strategie.
La ricerca rivela che c’è profonda insoddisfazione, da parte degli intervistati, circa la loro capacità di rilevamento e di indagine delle minacce; solo il 24% infatti si dichiara soddisfatto, l’8% afferma di essere in grado di rilevare le minacce molto velocemente e solo l’11% di saperle approfondire velocemente. La velocità nel rilevamento e nello studio delle minacce è fondamentale per minimizzare i danni e le perdite dovute a un cyber attacco.
C’è uno squilibrio tra i dati raccolti da fonti perimetrali (88%) e quelli che derivano da moderne infrastrutture IT (infrastrutture cloud-based 27%, Network Packet 49%, Identity Management 55%, e Endpoint 59%). Tuttavia, le organizzazioni che hanno integrato queste fonti di dati nelle loro strategie di rilevamento ritengono che siano estremamente utili.
Anche l’integrazione dei dati è una criticità: un quarto degli intervistati non li integra e solo il 21% li rende accessibili da un’unica fonte. Il fatto di tenere i dati in silos differenti impedisce la correlazione tra le diverse fonti, rallenta le indagini, e limita la visibilità della portata di un attacco. Solo il 10% degli intervistati ritiene di essere bravo nel collegare gli attacchi attraverso le differenti fonti di dati.
Gli intervistati non considerano come particolarmente efficace nessuna delle tecnologie che stanno utilizzando, liquidandole con una valutazione media. Mentre soluzioni SIEM (Security Information and Event Management) sono adottate da più di due terzi degli intervistati, i più efficaci strumenti come network packet capture, forensics endpoint, e analisi del comportamento degli utenti non sono largamente diffusi.
Infine, un dato incoraggiante è rappresentato dalla crescente importanza dei data relativi all’identità. Mentre attualmente solo poco più della metà delle organizzazioni raccoglie dati da identity e access system, coloro che lo fanno ritengono che sia molto importante. L’analisi comportamentale degli utenti, che semplifica il rilevamento di attività anomale, è il principale investimento tecnologico previsto dal 33% del campione nei prossimi 12 mesi.
Amit Yoran, President, RSA afferma: “Questa indagine conferma il nostro più grande timore: le organizzazioni non stanno adottando, e in molti casi non hanno in programma di farlo, le misure necessarie per proteggersi da minacce avanzate. Non raccolgono dati corretti, non integrano i dati raccolti, e si concentrano su tecnologie di prevenzione obsolete. Il contesto attuale impone l’adozione di misure e strumenti per colmare le lacune, e di un approccio strategico al tema”.
