Vectra AI, leader nel settore XDR (rilevamento e risposta estesi) basato sull’intelligenza artificiale, ha annunciato i risultati dell’edizione 2024 della ricerca “State of Threat Detection: The Defender’s Dilemma”. Dall’indagine emerge che gli addetti ai Security Operations Center (SOC) ritengono di non essere in grado di individuare e dare priorità alle minacce a causa di troppi strumenti non integrati e della mancanza di accurati segnali di attacco. Inoltre, evidenziano una crescente sfiducia nei confronti dei vendor, ritenendo che le loro soluzioni possano essere più un ostacolo che un aiuto nel rilevare gli attacchi reali. Ciò è tuttavia in contrasto con la crescente fiducia nelle proprie capacità e con una percezione ottimistica nei confronti delle potenzialità dell’intelligenza artificiale (AI).
Di contro, lo scenario degli attacchi ibridi continua a intensificarsi poiché le organizzazioni utilizzano strumenti basati su GenAI per semplificare i processi e migliorare i servizi interni. Un trend che offre maggiori opportunità agli aggressori e pone nuove sfide ai professionisti per la sicurezza, già alle prese con un numero crescente di alert e di falsi positivi. Anche se i SOC sono più confidenti riguardo alle proprie difese rispetto a un anno fa, molti ritengono di non disporre degli strumenti adeguati a individuare e agire in modo efficace sulle reali minacce. Basato su un sondaggio condotto su 2.000 professionisti della cybersecurity, lo studio analizza il motivo per cui esiste questa discrepanza, in che modo le attuali soluzioni di rilevamento delle minacce non sono all’altezza e il ruolo svolto dall’AI nel migliorare la cybersecurity fornendo alert mirati sulle violazioni e riducendo i workload.
La fiducia dei SOC sta migliorando, ma i troppi strumenti legacy rischiano di minarla
I professionisti hanno più fiducia nelle proprie capacità, ma ritengono di perdere terreno quando devono rilevare e dare priorità alle minacce concrete. Infatti, molti team gestiscono troppi tool e sono alle prese con un numero enorme di avvisi con il rischio di perdere di vista gli attacchi critici. Tutto ciò sta generando una perdita di fiducia negli attuali strumenti, spingendo i SOC a cercare alternative, come le soluzioni di rilevamento e risposta estese (XDR). Lo studio evidenzia che:
- Quasi tre quarti (71%) degli operatori SOC teme di perdere un vero attacco sepolto dall’enorme flusso di avvisi e il 51% ritiene di non riuscire a tenere il passo con le continue minacce cyber;
- Quasi la metà (47%) non ritiene che i propri strumenti di cybersecurity funzionino nel modo in cui ne hanno bisogno, mentre il 54% afferma che gli strumenti che stanno utilizzando aumentino i workload invece di ridurli;
- Il 73% dei SOC utilizza di più di 10 strumenti e il 45% più di 20 tool;
- Il 62% dei team ha recentemente adottato o sta valutando soluzioni di rilevamento e risposta estesi (XDR).
Gli strumenti legacy di rilevamento delle minacce stanno creando molto lavoro ai SOC, con il risultato di una crescente sfiducia nei vendor e di insoddisfazione nei relativi strumenti
I team SOC sono sempre più frustrati dagli attuali strumenti di sicurezza utilizzati, che causano più difficoltà di quante ne risolvano. Molti devono accantonare compiti centrali per gestire l’enorme volume di avvisi che ricevono. Una situazione che sta contribuendo ad accrescere l’insoddisfazione nei confronti sia degli strumenti sia dei vendor che li forniscono. Inoltre, i SOC evidenziano anche una scarsa precisione degli alert, poiché un numero significativo di avvisi non viene indirizzato per vincoli di tempo o a causa del supporto insufficiente dei software. Sebbene vi siano indicazioni di miglioramento in aree come la visibilità negli ambienti ibridi, l’enorme volume degli alert rimane un problema significativo. La survey ha rilevato che:
- Il 60% dei SOC afferma che i vendor offrono strumenti di rilevamento delle minacce che creano troppo rumore e troppi avvisi e il 71% che gli stessi vendor dovrebbero assumersi maggiori responsabilità nel caso in cui le relative soluzioni non riescano a fermare una violazione;
- L’81% dei SOC spende più di 2 ore al giorno esaminando e valutando gli eventi di sicurezza;
- Il 50% ritiene che i propri strumenti di sicurezza siano più un ostacolo che un aiuto quando si tratta di individuare attacchi reali, sottolineando che nel concreto sono in grado di gestire solo il 38% degli alert che ricevono e che classificherebbero come “veri attacchi” solo il 16% degli alert che ricevono;
- Il 60% afferma che molti degli strumenti di sicurezza utilizzati vengono acquistati ‘a scatola chiusa’ per garantire la conformità.
L’utilizzo dell’AI è in crescita, ma i fornitori devono aggiungere valore reale
I SOC stanno adottando sempre più strumenti di AI per migliorare il rilevamento e la risposta alle minacce, spinti da una crescente aspettativa nelle capacità di questa tecnologia. Sebbene molti siano ottimisti sul suo potenziale nel fornire alert di minaccia efficaci per identificare e rispondere con precisione agli attacchi cyber, ridurre i workload e sostituire gli strumenti legacy, emergono tuttavia timori di ulteriori complessità per un flusso operativo già sovracaricato. Nonostante ciò, c’è una forte intenzione di investire in soluzioni basate sull’AI per migliorare l’efficienza e l’efficacia della cybersecurity. Tuttavia, affinché l’AI ottenga davvero un consenso diffuso, i vendor devono lavorare per ripristinare la fiducia fornendo strumenti che aggiungano valore reale senza aumentare l’onere per i team SOC. La ricerca ha riscontrato che:
- L’85% dei SOC afferma che il livello degli investimenti e di utilizzo dell’AI è aumentato nell’ultimo anno e il 67% dichiara che ha avuto un impatto positivo sulla propria capacità di identificare e risolvere le minacce;
- Il 75% dei team evidenzia che negli ultimi 12 mesi l’AI ha ridotto i workload e il 73% che ha ridimensionato il livello di burnout;
- L’89% prevede di utilizzare più strumenti basati sull’AI nel corso del prossimo anno per sostituire gli attuali strumenti di rilevamento e la risposta alle minacce.
Dichiarazioni
“È promettente vedere che la fiducia sta crescendo tra i professionisti della sicurezza; è però chiaro che i loro attuali strumenti stanno creando una frustrazione crescente dal momento che, a causa della mancanza di alert di attacco integrati, spesso creano lavoro aggiuntivo anziché semplificare i processi. I dati suggeriscono che le soluzioni adottate per il rilevamento e la risposta alle minacce, insieme ai vendor che li commercializzano, non mantengono parte dell’accordo”, ha commentato Mark Wojtasiak, Vice President of Research and Strategy di Vectra AI. “In questo scenario, i team SOC ritengono che l’AI li aiuterà a identificare e dare priorità alle violazioni, ad accelerare i tempi di risposta e a ridurre l’eccesso di avvisi. Tuttavia, i vendor devono lavorare perché queste aspettative trovino concreta realizzazione, continuando a dimostrare che le offerte basate sull’AI hanno un impatto positivo”.