Oggi è fondamentale che i team della sicurezza siano in grado di individuare le minacce informatiche per contrastarle rapidamente. Il report di Forrester Now Tech: Security Analytics Platforms, Q3 2020 muove da questa premessa per offrire una serie di suggerimenti che tengono conto della complessità dell’infrastruttura, dell’aumento del volume dei dati e della sovrapposizione di soluzioni avanzate come i sistemi SIEM (security information and event management) rispetto a quelle legacy tradizionali. Una sovrapposizione che, invece di semplificare, ha introdotto elementi contraddittori in una strategia coerente di cyber security. Per questo i vendor sono stati costretti ad ampliare le funzionalità delle loro piattaforme di analisi della sicurezza (SA) con lo scopo di migliorare le capacità di rilevamento e consentire una risposta playbook-driven, cioè guidata da una serie di regole concatenate in cui ogni azione viene attivata in seguito a un evento di sicurezza rilevato.
Che cosa sono le Security analytics platforms (SA)
Questa tipologia di piattaforma, nella definizione di Forrester “è costruita su una grande infrastruttura di dati, convertendo i log da rete, identità, endpoint, applicazione e altre fonti rilevanti di sicurezza per generare allarmi comportamentali di alta fedeltà e facilitare l’analisi rapida degli incidenti, l’indagine e la risposta”. I professionisti della sicurezza, utilizzando le piattaforme SA, possono ottenere i seguenti risultati:
- identificare le minacce precedentemente sconosciute grazie a una migliore visibilità della rete;
- automatizzare il “triage” degli alert e raccomandare le risposte per supportare gli analisti del SOC (Security Operation Center);
- orchestrare la risposta attraverso tutto l’ambiente.
In questo modo, l’integrazione delle piattaforme con soluzioni SIEM e SOAR (Security Orchestration, Automation and Response) non si limiterà ad avvisare i security analyst quando “la casa è in fiamme”, ma permetterà l’ottimizzazione del processo per migliorare l’efficienza della sicurezza e ridurre i tempi di risposta.
La selezione di Forrester dei vendor di Security analytics platforms
Alla luce delle caratteristiche evidenziate sopra, Forrester propone la sua selezione dei vendor di piattaforme SA utilizzando due criteri: presenza sul mercato e funzionalità.
Presenza sul mercato
La segmentazione in base alla presenza sul mercato vede una suddivisione dei vendor in grandi, con oltre 200 milioni di ricavi, in operatori di medie dimensioni, con ricavi compresi tra i 50 e i 200 milioni di dollari, e in player più piccoli, con meno di 50 milioni di ricavi.
Al primo posto si collocano: IBM, McAfee, Micro Focus, RSA e Splunk. Fanno parte, invece, della seconda categoria: Exabeam, FireEye, Fortinet, Google, Gurucul, LogRhythm, Microsoft, Rapid7, Securonix, Sumo Logic. Rientrano, infine, negli “small”: Devo, Elastic Security, HanSight (Qihoo 360 Company), Huntsman Security, LogPoint, ManageEngine, Netsurion, Stellar Cyber.
Funzionalità nell’analisi della sicurezza
Per esplorare le funzionalità, Forrester ripartisce le piattaforme in tre segmenti, ciascuno con diverse capabilities:
- Piattaforme modulari SA che offrono una capacità SOAR matura separata dal loro SIEM. I vendor che appartengono a questa categoria considerano il SOAR come un’astrazione e questo permette alle organizzazioni di definire i playbook nel SOAR come punto di contatto primario tra l’uomo e la tecnologia. Il che conferisce ai professionisti della sicurezza la possibilità di rilevamento hot-swat (cioè di collegamento/scollegamento anche a sistema già avviato) senza interferire con i processi SOC.
- Piattaforme SA embedded che offrono una capacità SOAR matura all’interno della piattaforma. I fornitori di questa seconda classe funzionale vedono il SOAR come una caratteristica del SIEM, fornendo una transizione unificata dall’allarme alla risposta. Sebbene l’implementazione di questa piattaforma possa risultare più onerosa, questo modello lift-and-shift può essere visto come costo una tantum quando si adotta una soluzione di questo tipo.
- Piattaforme SA standalone che si concentrano sull’aggregazione dei log, la ricerca e gli alert. Le limitate funzionalità fornite da questi prodotti non soddisfano la definizione di piattaforma, poiché non facilitano la gestione degli alert generati. Tuttavia, forniscono molte delle capacità analitiche che si associano a questo ambito.
Come scegliere la piattaforma SA che serve all’azienda
Forrester raccomanda che le organizzazioni scelgano tra le Security analytics platforms quella di cui hanno bisogno allineando le soluzioni dei singoli vendor alle proprie esigenze. La regola aurea è che la selezionare avvenga in base a come riesca a facilitare la risposta. Questo perché i sistemi SIEM, su cui spesso ci si concentra, rappresentano solo una parte di ciò che costituisce una piattaforma SA. Occorre, in altri termini, una strategia molto più ampia per la gestione del rilevamento che coinvolga rete, cloud ed endpoint, così come funzionalità idonee a rendere operativi gli alert. Non bisogna sopravvalutate un elemento della propria capacità di mitigazione delle minacce a dispetto di altri. Da qui i consigli conclusivi di Forrester.
Aggregare, non federare, la strategia di mitigazione delle minacce
Una capacità SOAR centralizzata permette la creazione di processi ben definiti, gestibili e, cosa ancora più importante, verificabili. Va bene avere più sistemi di allarme, ma è necessario centralizzare la gestione del triage e dei processi di risposta.
Correlare gli allarmi collegati in un singolo incident per ridurre l’onere del SOC
Ogni allarme generato crea un carico di lavoro che sarà sottoposto a un’indagine o ignorato all’interno di un SOC. Una piattaforma SA correla gli avvisi per ridurre il lavoro che i security analyst devono svolgere. L’obiettivo non è quello di indagare su un numero inferiore di allarmi, quanto di farlo solo su allarmi validi.
Misurare la qualità degli alert per valutare quanto il prodotto faciliti le indagini
Le migliori soluzioni devono supportare i framework MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) in maniera tale da mostrare non solo il pattern responsabile della minaccia, ma anche il vettore di infezione che ha portato a compromettere la sicurezza.
Abbracciare l’automazione per ridurre il mean time to remediate (MTR)
La metrica MTR è un indicatore critico nei SOC. Sfruttando l’automazione, è possibile migliorare immediatamente questa metrica, ottimizzando fra l’altro la spesa associata all’interazione umana e recuperando livelli di produttività per concentrarsi sull’incremento di resilienza agli attacchi informatici.