Nell’era della trasformazione digitale, i servizi automatizzati si sono assicurati un posto di primo piano nell’agenda della maggior parte delle organizzazioni. Eppure, fino a poco tempo fa la sicurezza informatica è rimasta secondaria.
I professionisti del settore, d’altronde, sono sovraccarichi di lavoro e a corto di personale. Le difficoltà iniziano nei security operation center (SOC), in troppi casi gestiti secondo dinamiche che hanno ormai fatto il loro tempo. La complessità dei moderni dispositivi, i lavoratori da remoto e gli ambienti multicloud hanno portato a livelli inediti di imprevedibilità il funzionamento di questi centri. Le trasformazioni, unite ai metodi avanzati impiegati negli attacchi ransomware e in quelli diretti alla supply chain, rischiano di tradursi in un disastro annunciato per qualsiasi organizzazione che non intenda modernizzare la propria infrastruttura di sicurezza.
Le procedure tradizionali aprono la strada a nuovi attacchi
Possiamo chiamarlo SOC 1.0. Il centro di sicurezza tradizionalmente orientato verso la legacy detection (SIEM e IDS) si rivela obsoleto nella risposta alle moderne minacce informatiche. Gli strumenti che solitamente impiega costano molto, ma producono risultati limitati, falliscono nel rilevare attacchi in corso e si concentrano più sul prevenire le minacce che sul costruire difese resilienti rispetto a esse.
In più, dal momento che le tecnologie utilizzate oggi sono andate avanti rispetto alla concezione tradizionale del SOC, gli analisti faticano a gestirle manualmente attraverso fonti di dati limitate, arrivando così a conclusioni soltanto parziali. In ultima analisi, ciò che resta all’azienda è mancanza di visibilità e un security team che lavora su flussi di lavoro inefficienti a un costo elevato.
È arrivato, perciò, il tempo di cambiare. Abbiamo visto spesso come le tecniche di prevenzione falliscano nel rilevare i ransomware: si tratta di attacchi guidati dall’uomo – il malware viene rilasciato soltanto nel momento finale – e ciò significa che l’unica possibilità di fermarli consiste nel rilevare e bloccare i movimenti degli attaccanti dentro l’ambiente proprio dell’organizzazione. Oggi i cyber criminali conoscono più di un modo per bypassare i sistemi di autenticazione a più fattori e, sebbene l’endpoint detection sia importante, non ha possibilità contro un attaccante astuto e dotato di credenziali rubate.
La buona notizia, però, è che difendersi dalle attuali minacce informatiche è possibile. E non dev’essere per forza così complicato.
Lavorare per un SOC moderno
Pensiamo, innanzitutto, ai professionisti della sicurezza. Se prima della pandemia andava di moda la customer experience, oggi le organizzazioni mettono in cima all’elenco di priorità l’employee experience. L’efficacia del lavoro da remoto, ormai conclamata, fa sì che i cyber talenti possano lavorare ovunque vogliano: nel progettare un nuovo SOC, l’azienda è chiamata a immaginare un ecosistema che alleggerisca il carico di lavoro che grava sui profili tecnici. Altrimenti, rischia di perdere i candidati più qualificati a vantaggio di altre organizzazioni.
L’esigenza di trattenere i talenti migliori è un motivo in più per modernizzare il SOC e adottare un approccio che guardi al futuro e che dia priorità alla visibilità e ai flussi di lavoro. Il moderno centro di sicurezza utilizza ancora log e analisi SIEM, ma le arricchisce con dati provenienti da endpoint e dalla rete. Mette insieme endpoint detection and response (EDR), network detection and response (NDR) potenziata dall’intelligenza artificiale e user and entity behavior analytics (UEBA). Il nuovo SOC 2.0 crea una rete tra on-prem, cloud e app cloud-native, che consente di rilevare attività sospette prima sconosciute e movimenti laterali degli attaccanti.
Da dove iniziare per costruire il nuovo SOC? L’AI può rivelarsi un’alleata preziosa. Migliorare l’accuratezza degli alert, ottimizzare le investigazioni, dare la caccia a nuove minacce, stabilire chiare priorità nelle risposte sono tutti risultati che si possono ottenere con la giusta piattaforma di AI. L’intelligenza artificiale è incredibilmente abile nel trattare grandi insiemi di dati in modo veloce ed efficiente, mentre le persone sono eccezionali nel contestualizzare le informazioni. Ecco perché l’AI può aiutare il SOC a sfruttare al meglio le potenzialità dei suoi componenti.
Prendere una pausa
L’analista, dunque, va dotato di AI e funzionalità di Machine Learning che identificano i comportamenti associati a un rischio, mentre altri sistemi di AI automatizzano gran parte delle tradizionali attività affidate al centro di sicurezza. Si riducono così drasticamente i falsi positivi, eliminando lo stress dell’essere sottoposti ad allarmi continui.
Modernizzare il SOC è il futuro di ogni organizzazione che intenda sviluppare un security operation center efficiente e sostenibile. Le indagini sulle minacce informatiche danno molti più frutti se supportate da un’analisi solida e accurata, realizzata da sistemi intelligenti e verificata da professionisti formati che analizzano una lista ridotta di comportamenti sospetti.
Un SOC del genere, inoltre, è in grado di migliorare la governance e infondere fiducia nelle autorità di regolamentazione, negli investitori e nei clienti. L’abilità di rilevare, valutare e attribuire in tempo reale priorità alle minacce assicura una rapida ed efficace risoluzione dei problemi e previene violazioni costose e imbarazzanti.
di Massimiliano Galvagna, Country Manager Italia di Vectra AI