Con intrusioni dei computer sempre più complesse che, a volte, coinvolgono centinaia di sistemi fisicamente situati in vari luoghi del mondo, la sfida per le Security Operation si conferma anche quella di tenere il passo con l’innovazione.
In particolare con le organizzazioni che fanno affidamento su un numero insormontabile di strumenti e artefatti di sicurezza che sono sia poco integrati sia non progettati per adattarsi all’evolversi delle minacce.
Inoltre, la mancanza di responsabilità chiare nella gestione degli incidenti e i problemi legati ai silos aziendali ritardano l’efficacia di contenimento e rimedio.
Ma la scalabilità non è l’unico problema: ci sono, infatti, molti altri difetti chiave da notare quando si esaminano le tecnologie di sicurezza onnipresenti. Basti pensare che, spesso, le soluzioni di rilevamento e risposta degli endpoint non sono pronte per l’utilizzo o non sono state distribuite completamente in tutta l’azienda, oppure che le tradizionali soluzioni di rilevamento e prevenzione delle intrusioni (IDPS) sono limitate nella loro capacità di rilevare attività post-sfruttamento come i movimenti laterali.
Inoltre, le soluzioni di gestione delle informazioni e degli eventi di sicurezza (SIEM) sono spesso non adeguatamente dimensionate per aggregare tutte le fonti di log provenienti dai sistemi presenti nell’ambiente anche perché è praticamente impossibile.
Non ultima, la gestione dei log e i problemi di indicizzazione possono influire sulla completezza o sulla capacità di cercare le informazioni in modo efficace, tanto che le soluzioni SIEM spesso finiscono per sollevare più domande di quante non forniscano risposte.
5 elementi chiave da tenere a mente
Per FireEye, possedere un Security Operation efficace ed efficiente non è solo vantaggioso dal punto di vista operativo, ma anche strategico. Per raggiungere questo obiettivo è fondamentale disporre di un piano di Incident Response semplificato, basato ad esempio su una piattaforma di sicurezza unificata, alimentata costantemente da una fonte di intelligence senza precedenti sulle minacce informatiche.
Da qui il suggerimento di cinque elementi chiave per una piattaforma di sicurezza unificata:
1. Informazioni pertinenti e affidabili sulle minacce informatiche per gestire strategicamente i rischi e accelerare la capacità di stabilire le priorità e rispondere alle minacce.
2. Ampia visibilità a livello aziendale per individuare e tracciare efficacemente un attacco attraverso i principali vettori di minaccia.
3. Guida contestuale attraverso playbook investigativi adattabili aumentando la capacità operativa di sicurezza e accelerando la risposta agli incidenti.
4. Rapido ed efficace contenimento ed eliminazione delle minacce per ridurre al minimo l’impatto.
5. Acquisizione rapida e automatizzata di tutte le prove forensi rilevanti, dall’infrastruttura cloud agli endpoint esterni alla rete aziendale
Grazie ad una piattaforma operativa di sicurezza unificata con informazioni sulle minacce informatiche su misura per una specifica infrastruttura e uno specifico settore, i team di sicurezza possono valutare rapidamente i rischi, dare priorità agli avvisi e concentrarsi su ciò che più conta: ridurre al minimo l’esposizione agli attacchi e risparmiare tempo e denaro aumentando l’efficienza delle operazioni di sicurezza.
