Mantenere l’azienda al sicuro significa intercettare e fronteggiare gli attacchi che si verificano, ma soprattutto saperli prevenire prima che accadano. Per anni, le soluzioni SIEM sono state il principale strumento utilizzato dai professionisti della sicurezza IT per aggregare le informazioni e identificare comportamenti anomali che avrebbero potuto rappresentare la prova di una intrusione malevola nel sistema aziendale.
Eppure il SIEM non ha saputo tenere il passo con le esigenze di sicurezza delle moderne imprese. Il cybercrime si è fatto via via più sofisticato e, per ogni azienda, è arrivato il momento di implementare una tecnologia progettata per il rilevamento dei pericoli: le security analytics.
Lo studio condotto da Forrester ha evidenziato tre risultati principali:
- i professionisti della sicurezza devono implementare il proprio set di strumenti per tenere il passo con il panorama in continuo mutamento del cybercrime
- il SIEM rappresenta una buona base di partenza, ma non è più insufficiente
- le aziende più mature stanno investendo in security analytics
Affrontare molte minacce, su più fronti
Le aziende si sentono sempre più pressate dal problema della sicurezza IT. In uno scenario in cui gli aggressori sono in continua evoluzione (e sfornano senza soluzione di continuità nuovi sistemi di attacco sempre più subdoli), i responsabili della sicurezza informatica del panel intervistato hanno riferito di sentirsi minacciati principalmente dai malware (49%), dal phishing (34%) e dagli attacchi ai database e ai sistemi di content/data management (29%).
Dallo studio è emersa nettamente l’importanza di prendere in seria considerazione la possibilità di subire un attacco malevolo: uno degli errori peggiori è pensare di essere immuni. I numero parlano chiaro: quasi quattro intervistati su cinque (79%) hanno riferito di aver subito un attacco o una violazione negli ultimi dodici mesi, per una media di dieci attacchi nel corso dell’ultimo anno.
E i modi in cui questi attacchi influiscono sulle attività aziendali si estendono alle registrazioni dei clienti, alle risorse deviate e ai downtime della rete e delle apllicazioni.
Il SIEM da solo non basta
Nei primi anni 2000, quando il SIEM si è fatto strada, raccogliere i log dei dati di sicurezza, aggregarli in un repository centrale e analizzare i trend era sufficiente. Oggi, molte implementazioni SIEM sono principalmente guidate da scopi di reporting, come confermato dagli intervistati. Tuttavia, in ultima analisi, questo approccio ha dimostrato di essere sempre più limitato come sistema di rilevamento e di reazione, a causa della mancanza della capacità di affrontare analisi più sofisticate.
Forrester, inoltre, mette in evidenza il fatto che la maggior parte delle aziende non sfrutta il SIEM con un alto livello di competenza: per questo molte realtà potrebbero erroneamente credere di essere in grado di rilevare le minacce avanzate, quando in realtà non è così. Il SIEM infatti non è in grado di rilevare pericoli sconosciuti, individuare fuoriuscite di dati e riconoscere le minacce che si trovano già all’interno della rete aziendale. Se si guarda al di là dell’efficacia complessiva del SIEM e si indaga sulle sue prestazioni in alcuni settori chiave, si evidenziano diverse falle. Agli intervistati è stato chiesto di indicare i motivi per cui in origine hanno investito in SIEM e quali di quelle funzionalità che sono state effettivamente utilizzate. In tutti i sei fattori analizzati, la realtà non è riuscita a soddisfare le aspettative (vedi figura 4).
Creare una base solida per rilevare e reagire alle violazioni
Lo scenario è cambiato. E così deve cambiare la mentalità di chi si occupa della sicurezza informatica. Le security analytics rappresentano una strategia in grado di garantire un rilevamento delle minacce affidabile. Un sistema di SA prende in considerazioni più tipi di telemetria IT provenienti da tutta l’azienda, come le funzioni di reporting del SIEM, la capacità di rilevamento del malware, la protezione dei dati, la NAV (network analysis and visibility), la visibilità degli endpoint e l’analisi comportamentale. Tale strategia combina e integra tutti questi aspetti per fornire agli analisti una piattaforma con capacità di rilevamento e investigazione su scala aziendale.
Le security analytics non solo aiutano a identificare gli eventi in corso di accadimento, ma permettono di valutare lo stato di sicurezza all’interno dell’impresa e prevedere quindi gli eventi che potrebbero verificarsi in futuro. Forrester utilizza l’acronimo INTEL (Information, Notification, Threats, Evaluation, Leadership) per descrivere la consapevolezza della situazione, il reporting avanzato e la capacità predittiva offerta dalle security analytics.
Le aziende più mature sono passate alle security analytics
L’analisi di Forrester ha mostrato che la maggior parte delle aziende più mature dal punto di vista della sicurezza informatica hanno già messo in campo strategie che vanno ben oltre il SIEM e includono tecnologie che supportano un sistema globale di rilevamento/reazione alle violazioni attraverso l’impiego di security analytics. I due terzi (67%) delle aziende mature usano attualmente le security analytics, contro il 44% delle organizzazioni meno mature.
Quasi la metà (48%) delle organizzazioni mature ha riferito si utilizzare abitualmente il proprio sistema di SA per identificare gli asseti sotto attacco, attività condotta solo dal 35% delle altre aziende. Il 67% delle aziende mature, inoltre, ha dichiarato di utilizzare regolarmente i dati generati dalle security analytics per migliorare la stima delle probabilità e dell’impatto delle minacce durante la fase di valutazione dei rischi, rispetto al 30% delle altre imprese.
Non solo, le aziende ad alta maturità hanno più probabilità rispetto ai loro omologhi meno maturi di supportare le proprie applicazioni con strumenti di analisi di sicurezza su tutta la linea, ma in alcune aree il contrasto risulta particolarmente forte: il 50% delle organizzazioni mature utilizza le SA per supportare visibilità e intelligence delle operazioni, a fronte del 30% delle aziende meno mature.
