Gli strumenti avanzati come i servizi di threat intelligence e i sistemi SIEM possono aiutare i team aziendali a raggiungere i loro obiettivi di sicurezza, ma solo se sono utilizzati in modo efficace.
Saper sfruttare al massimo tali strumenti è essenziale per la buona riuscita di un’azienda: gli esperti sottolineano quali sono i cinque errori più comuni in cui si incorre durante la realizzazione di progetti di threat intelligence e security analytics e spiegano come evitarli, per raggiungere così risultati solidi e reali.
#1 Mancanza di un team di professionisti dedicato
Un progetto di analisi delle minacce, per avere successo, ha bisogno del giusto mix di competenze. Ma non si tratta solo di assumere figure come i data scientist. Per raggiungere gli obiettivi di sicurezza aziendale, c’è bisogno anche di specialisti che siano in grado di comprendere quali sono le minacce e le vulnerabilità che l’organizzazione deve affrontare, come esperti forensi capaci di analizzare il modo in cui avvengono gli attacchi informatici, architetti di rete e senior manager che possano identificare i processi e i fattori chiave del business.
Secondo gli esperti, le competenze in tema di comunicazione sono la chiave: è importante impegnarsi al fine di evitare che scarsa comunicazione e poca collaborazione ostacolino i processi di data exploration necessari per portare alla luce gli attacchi sofisticati di oggi.
#2 Carenza di personalizzazione e data exploration
Il machine learning, l’analisi comportamentale e l’automazione avanzata stanno diventando caratteristiche standard per i sistemi SIEM di alto livello, ma gli analisti hanno bisogno di personalizzare e ottimizzare questi aspetti sulla base delle caratteristiche del loro particolare ambiente. Questo, infatti, permetterà ai sistemi di threat intelligence di migliorare i tassi di rilevamento dei pericoli e ridurre i falsi positivi.
Gli esperti consigliano di utilizzare la threat modelling per decidere dove concentrare i propri sforzi di ricerca, di aggiornare i modelli ogni volta che ci sono grandi cambiamenti nell’infrastruttura di rete o che vengono scoperti nuovi vettori di attacco. Le attività di security analytics, inoltre, devono andare oltre il semplice monitoraggio o la semplice risposta agli alert: per tutelare la sicurezza IT oggi è necessario avere un approccio investigativo, con cui mettere costantemente in discussione ciò che accade sulla rete e sfidare il pensiero convenzionale, per prevenire eventuali pericoli.
#3 Supporre che più dati significhi maggiore sicurezza
Gli esperti ritengono che voler reperire ulteriori informazioni sulle minacce da terze parti sia un’attività priva di senso, a meno che tutti i dati generati internamente non siano già stati completamente esplorati. I controlli di sicurezza tradizionali (come firewall, software antivirus, gateway e sistemi di protezione e rilevamento intrusioni) dovrebbero infatti fornire grandi quantità di dati già in grado di rivelare quali siano gli aspetti da approfondire per risolvere eventuali problemi.
Solo se tutti questi dati sono già stati effettivamente raccolti ed esaminati, allora i feed di threat intelligence esterni possono realmente essere d’aiuto nella caccia alle attività dannose sulla rete.
#4 Non avere obiettivi precisi e supporto dei dirigenti
L’obiettivo di sicurezza insito in qualsiasi progetto di analisi è quello di migliorare la difesa complessiva di sistemi e dati. Ma senza una corretta pianificazione, il giusto focus e un budget adeguato ogni sforzo potrebbe risultare vano.
Senza obiettivi chiaramente definiti, l’analisi dei dati non potrà produrre costantemente nuove intuizioni e scoperte utili e si limiterà invece a fornire soltanto indicatori vaghi in merito a problemi, senza stabilire nessuna priorità. E in questo scenario, gli esperti ritengono sia fondamentale il supporto manageriale per ottenere una visione davvero olistica dell’ambiente IT.
#5 Usare metriche inadatte per valutare i progressi della threat intelligence
Il cammino verso il raggiungimento degli obiettivi di sicurezza aziendali richiede che le strategie difensive siano continuamente riviste e aggiornate a causa della rapida evoluzione del cybercrime.
Se le metriche sono ottimizzate per monitorare i cambiamenti nel numero e nelle tipologie degli eventi di sicurezza, questi obiettivi sono più facili da raggiungere. Secondo gli esperti, i team di sicurezza dovrebbero valutare le prestazioni del proprio programma di security analytics misurando alcuni parametri chiave, tra cui:
- tempo medio di rilevazione e risposta
- tasso di segnalazione di falsi positivi
- volume di risposta agli incidenti
- percentuale degli incidenti di sicurezza rilevati da un controllo automatizzato