Nel contributo che vi proponiamo qui di seguito, Massimiliano Galvagna, Country Manager Italia di Vectra AI, evidenzia la necessità di colmare tre lacune che limitano la visibilità in fatto di sicurezza informatica, agendo su copertura, chiarezza e controllo.
Buona lettura
All’interno di uno scenario caotico per gli strumenti di sicurezza fatto di dispositivi remoti non verificati, reti di terze parti e cloud poco conosciuti, gli analisti SOC in Italia si trovano spesso a non avere una visione completa di tutto ciò che necessita di essere controllato e protetto. Fortunatamente, queste incognite portano con loro un vantaggio, sono note e conosciamo quello che non sappiamo.
Potrebbe sembrare una magra consolazione di fronte a uno scenario sempre più digitale interessato da minacce rilevanti e gravi. Ma la verità è che se estendiamo i confini della sicurezza al di là dei nostri data center ed endpoint, verso l’esterno – ai cloud pubblici, ai servizi e alle identità – possiamo compiere un enorme passo avanti.
Quindi, esaminiamo ciò che non sappiamo. In primo luogo, non siamo del tutto sicuri di quanto si estenda la nostra superficie di attacco. Inoltre, possiamo solo studiare i prossimi metodi di attacco che potrebbero colpirci. E in ultimo, potremmo persino essere inadeguatamente consapevoli degli strumenti a disposizione, come funzionano e quali ulteriori punti ciechi creano. Dobbiamo eliminare queste incognite in quanto rendono i team di sicurezza incapaci di difendere i nostri confini, i nostri dati e i nostri sistemi. Un recente studio di Vectra ha rivelato la poca visibilità, la mancanza di rilevamento degli attacchi moderni e la scarsa integrazione tra i tre principali motivi del fallimento degli strumenti di sicurezza.
Quando cerchiamo di dotare i SOC delle difese necessarie, dobbiamo pensare in modo più proattivo. Sappiamo quali sono le nostre incognite, ma dovremmo chiederci perché i team di sicurezza dovrebbero subirle. Il problema risiede in tre lacune fondamentali: le tre ‘C’ della cecità della sicurezza informatica.
- Copertura
Dobbiamo affrontare un fatto inoppugnabile. Operiamo in un ambiente senza perimetri in cui la prevenzione è quasi impossibile e, in una certa misura, tutti i moderni approcci alla sicurezza informatica lo riconoscono. Le superfici di attacco si stanno espandendo, quindi dobbiamo implementare principi zero trust per coprire, ad esempio, gli ambienti AWS e Microsoft Azure, Microsoft 365 e di Google Cloud Platform (GCP). Centinaia di app SaaS e decine di prodotti di identità basati su cloud danno vita a un territorio vasto e sconosciuto. Questo è un incentivo per i malintenzionati e una grave preoccupazione per i professionisti della sicurezza. Due terzi delle moderne minacce utilizzano servizi e API autorizzati come veicolo di attacco. Per i team dei SOC, le incognite della superficie di attacco sono risolvibili solo grazie a una visibilità unificata dei data center, endpoint, cloud pubblici, SaaS e identità. In altre parole: piena visibilità e controllo.
- Chiarezza
A fronte di attacchi sempre più sofisticati i CISO e i loro team vedono però diminuire i budget e le risorse a loro disposizione. Pensiamo al singolo analista della sicurezza quale risolutore di problemi che passa la maggior parte del suo tempo a modificare e ottimizzare strumenti legacy, come SIEM e IDS che utilizzano funzionalità basate su regole che sono inadeguate a contrastare gli attacchi moderni ad alta velocità. Tutto questo genera un senso di frustrazione che spinge molti analisti a lasciare il proprio posto di lavoro. Ecco perché è necessario re-immaginare il SOC e abilitarlo ad affrontare attacchi sempre più veloci e sconosciuti.
Fortunatamente, dopo aver risolto il problema della copertura dei confini, possiamo definire il contesto dei segnali in tempo reale e ridurre la latenza dei flussi di lavoro SOC. La tecnologia in grado di acquisire e analizzare rapidamente i dati, velocemente e su scala, è ora disponibile.
- Controllo
Questo scenario facilita le opportunità di attacco, costantemente in aumento e sempre più agili. Una recente ricerca condotta da Vectra in Italia ha rivelato che il 72% dei leader della sicurezza teme che un attacco sia già in corso al proprio interno, ma non possono dimostrarlo a causa della mancanza di visibilità. Gli investimenti in tecnologia e strumenti spesso non si traducono in valore perché persistono ancora silos di informazioni e strumenti che non consentono di avere un quadro completo della situazione e lasciano i team inermi di fronte alle minacce. Un terreno fertile per gli aggressori che sfruttano spesso questo tipo di vulnerabilità. La soluzione al paradigma dei silos – un unico pannello che consente agli analisti di interrompere sessioni sospette, revocare le credenziali e agire contro un’anomalia aggressiva – restituisce il controllo dell’ambiente a chi ne è responsabile: il SOC.
Fortificare
Essenzialmente, stiamo cercando di districare una spirale di crescente complessità: superfici di attacco più estese, modalità di attacco sempre più numerose, diversi e differenti strumenti di sicurezza informatica, sempre più alert da monitorare, più frustrazione e più dimissioni. E se la retention dei talenti è un elemento che viene sempre meno, l’efficacia del segnale è ciò di cui si ha più bisogno in questo momento. Una maggiore efficacia del segnale rende i SOC più proattivi ed efficienti, inibendo le possibilità di attacco. In questo senso, l’Attack Signal Intelligence, il risultato di decenni di ricerca e analisi dei comportamenti degli aggressori, potrebbe essere una risposta. In termini di copertura, i modelli di intelligenza artificiale e ML sono stati perfezionati a tal punto da poter rilevare minacce reali e ignorare quelle che, di routine, provocano falsi positivi e snervanti surplus di alert. Una Signal Intelligence è un detective digitale autonomo, esperto nelle pratiche degli aggressori e preparato sull’ambiente specifico che è chiamato a difendere.
Gli incidenti basati sul cloud stanno aumentando mentre le incertezze minano l’attività dei professionisti della sicurezza. Dando priorità alla prevenzione, le organizzazioni invitano alla cecità, che gli aggressori saranno ben felici di sfruttare. Dobbiamo affrontare le tre ‘C’ – copertura, chiarezza e controllo – se vogliamo fornire ai nostri team di sicurezza tutta la visibilità necessaria. L’Attack Signal Intelligence è lo strumento migliore a disposizione per raggiungere proprio questo scopo.