L’attività dei Security Operations Centers (SOC) è una risposta coerente all’incremento e alla sofisticazione delle cyberminacce. Secondo una ricerca di Kaspersky, un terzo delle imprese costruisce un SOC per gestire i rischi relativi alla sicurezza informatica. Ad ogni modo, in questo processo, le organizzazioni spesso affrontano numerosi ostacoli che mettono a repentaglio la produttività delle loro operazioni di sicurezza.
Alcuni di questi ostacoli possono essere la carenza di professionisti qualificati, la scarsa automazione e integrazione tra vari strumenti, l’elevato numero di alert e la mancanza di visibilità e contesto.
Un sondaggio condotto dall’istituto SANS, tra gli specialisti che lavorano nei SOC ha rivelato la loro insoddisfazione rispetto alle performance di questi centri e anche una visione poco chiara su come migliorarle.
Kaspersky parte da questi dati nella definizione di una nuova offerta per i SOC, che inizia da un’analisi delle esigenze specifiche dei clienti e dei loro punti deboli, in modo da offrire i prodotti e i servizi di cui hanno bisogno.
Partire dai punti deboli per combattere le cyberminacce
I punti deboli nella protezione di un’azienda non si trovano sempre all’interno dell’infrastruttura, ma spesso vengono rilevati nei suoi processi. Questi possono essere alert a cui viene assegnata una priorità errata o problemi di comunicazione quando gli analisti trasmettono le informazioni relative ad un alert dopo un ritardo o in modo non esauriente. A causa di queste problematiche, i cybercriminali riescono a rimanere nell’anonimato più a lungo aumentando le probabilità di un attacco di avere successo.
Questo è il motivo per cui Kaspersky, insieme al sevizio di Penetration Testing ha presentato una valutazione ad hoc delle operazioni di sicurezza esistenti dei clienti: si tratta di Red Teaming, una simulazione di attacchi malevoli guidati dalla threat intelligence. Gli esperti di Kaspersky determinano il modo in cui i criminali si comporteranno basandosi sulle caratteristiche specifiche del cliente come il settore, il Paese e il mercato e imitando le loro azioni, sono in grado di valutare i SOC e la velocità dei team di incident response nel rilevare e prevenire l’attacco. La valutazione delle capacità del team difensivo è seguita da workshop che illustrano le lacune nei processi difensivi e le raccomandazioni su come migliorarle.
“La gestione di un SOC non si riduce all’implementazione di un SIEM. Per essere efficace, dovrebbe essere affiancata da processi, ruoli e playbook pertinenti. Dovrebbe anche essere attrezzata con connettori per i log e fonti di eventi e regole di correlazioni efficaci, ed essere alimentata da threat intelligence. Se gli ostacoli principali non vengono compresi i CISO non possono delineare una tabella di marcia di sviluppo del SOC. Ecco perché analizziamo attentamente le esigenze e i punti critici del cliente, valutiamo la maturità dei sistemi di sicurezza informatica esistenti e identifichiamo le lacune in modo da poter consigliare le soluzioni ottimali”, dichiara Venimin Levtsov, VP, Corporate Business di Kaspersky.