Non sempre è semplice rivelare i “punti ciechi” nel rilevamento delle minacce. Ci ha provato RSA, Security Division di EMC, che coinvolgendo oltre 160 persone in un sondaggio a livello globale tra i mesi di dicembre 2015 e febbraio 2016, ha elaborato un report sull’efficacia del rilevamento delle minacce (Threat Detection Effectiveness Survey) basandosi sulle auto-valutazioni dei partecipanti relativamente all’efficacia delle loro organizzazioni in questo tipo di attività.
I risultati forniscono uno spaccato sulle tecnologie utilizzate dalle organizzazioni, il loro impegno in questo ambito, nonché il livello di soddisfazione rispetto agli strumenti attualmente a disposizione. Agli intervistati è anche stato chiesto su quali tecnologie hanno in programma di investire e come intendono evolvere le loro strategie.
Domina l’insoddisfazione
La ricerca rivela che c’è profonda insoddisfazione, da parte degli intervistati, circa la loro capacità di rilevamento e di indagine delle minacce; solo il 24% infatti si dichiara soddisfatto, l’8% afferma di essere in grado di rilevare le minacce molto velocemente e solo l’11% di saperle 
approfondire velocemente. La velocità nel rilevamento e nello studio delle minacce è fondamentale per minimizzare i danni e le perdite dovute a un cyber attacco.
C’è uno squilibrio tra i dati raccolti da fonti perimetrali (88%) e quelli che derivano da moderne infrastrutture IT (infrastrutture cloud-based 27%, Network Packet 49%, Identity Management 55%, e Endpoint 59%). Tuttavia, le organizzazioni che hanno integrato queste fonti di dati nelle loro strategie di rilevamento ritengono che siano estremamente utili.
Anche l’integrazione dei dati è una criticità: un quarto degli intervistati non li integra e solo il 21% li rende accessibili da un’unica fonte. Il fatto di tenere i dati in silos differenti impedisce la correlazione tra le diverse fonti, rallenta le indagini, e limita la visibilità della portata di un attacco. Solo il 10% degli intervistati ritiene di essere bravo nel collegare gli attacchi attraverso le differenti fonti di dati.
Gli intervistati non considerano come particolarmente efficace nessuna delle tecnologie che stanno utilizzando, liquidandole con una valutazione media. Mentre soluzioni SIEM (Security Information and Event Management) sono adottate da più di due terzi degli intervistati, i più efficaci strumenti come network packet capture, forensics endpoint, e analisi del comportamento degli utenti non sono largamente diffusi.
Cresce l’importanza dei dati relativi all’identità
Infine, un dato incoraggiante è rappresentato dalla crescente importanza dei data relativi all’identità. Mentre attualmente solo poco più della metà delle organizzazioni raccoglie dati da identity e access system, coloro che lo fanno ritengono che sia molto importante. L’analisi comportamentale degli utenti, che semplifica il rilevamento di attività anomale, è il principale investimento tecnologico previsto dal 33% del campione nei prossimi 12 mesi.
“Questa indagine conferma il nostro più grande timore – commenta Amit Yoran, presidente di RSA –: le organizzazioni non stanno adottando, e in molti casi non hanno in programma di farlo, le misure necessarie per proteggersi da minacce avanzate. Non raccolgono dati corretti, non integrano i dati raccolti, e si concentrano su tecnologie di prevenzione obsolete. Il contesto attuale impone l’adozione di misure e strumenti per colmare le lacune, e di un approccio strategico al tema”.
