La sicurezza informatica è una delle massime priorità per tutti i CIO. L’abilità degli hacker e la sofisticazione dei cyber-attacchi sono in costante crescita: di conseguenza, per le aziende aumentano le possibilità di cadere vittima di un attacco informatico e di doverne quindi pagare le conseguenze in termini finanziari, operativi e di reputazione.
Uno strumento efficace nella sfida al cybercrime
Uno dei modi più efficaci, secondo gli esperti, per migliorare il livello di sicurezza aziendale è rappresentato dalla realizzazione di un Security Operations Center. I SOC uniscono le competenze di professionisti nell’ambito IT e di specialisti in varie discipline: per proteggere un’organizzazione, infatti, i SOC richiedono la partecipazione dei migliori talenti, dei migliori processi e delle migliori tecnologie. I SOC gestiscono il monitoraggio della sicurezza, delle minacce e delle vulnerabilità, le attività di incident response, l’analisi degli attacchi, i processi di reverse engineering e la gestione della conformità di sicurezza. Queste molteplici funzioni necessitano di un’adeguata automazione software per gestire i flussi di informazioni derivanti da molti sistemi diversi, da tipologie di minacce in costante mutamento e da flussi di lavoro complessi. In realtà, però, questi centri devono spesso fare i conti con software e processi legacy inadeguati a fronteggiare le minacce in continua evoluzione di oggi.
I difetti di un SOC legacy
I SOC spesso utilizzano piattaforme di Security Information and Event Management (SIEM) che comportano significativi costi operativi, ripide curve di apprendimento e interfacce utente ingombranti. Secondo gli esperti, questo approccio “legacy” si pone in evidente contrasto nei confronti dell’ambiente agile, multi-piattaforma e caratterizzato da un approccio DevOps di continuous delivery che la maggior parte delle organizzazioni IT più importanti hanno già adottato. Un SOC datato può gestire solo fonti di dati limitati ed è caratterizzato da una ricerca dati e una capacità di analisi e reporting rudimentali e rigide. Essendo una piattaforma chiusa e proprietaria, un point product SIEM è difficile, se non impossibile, da implementare con nuove funzionalità tramite API e SDK. Questo rende limitate le funzioni di rilevamento delle anomalie e di gestione del rischio. I SOC legacy utilizzano tecnologie di prevenzione tradizionali che sono reattive e non basate su analisi predittive.Quando il sistema di protezione fallisce non rilevando una minaccia sconosciuta, l’organizzazione si trova in una situazione di pericolo che perdura fino a quando il venditore non sviluppa il relativo aggiornamento di sicurezza. Questo avviene, spiegano gli esperti, perché i SIEM legacy sono si basano sul concetto di monitoraggio, piuttosto che incentrarsi su un approccio proattivo (sviluppando funzionalità investigative e di risposta alle minacce). Non possono attingere informazioni da repository di threat intelligence per ottenere informazioni sulle minacce in tempo reale e sfruttano una varietà di prodotti specifici, piuttosto che essere progettati per una security management end-to-end.
I vantaggi di un SOC lean
Gli esperti ritengono che sia giunto il momento di ripensare il design dei Security Operations Center a favore di un approccio più lean, per realizzare centri operativi di sicurezza in grado di garantire più agilità, flessibilità e scalabilità, migliorando nel contempo l’efficienza e l’efficacia del personale e degli strumenti attivi sul fronte della sicurezza IT. Un SOC può essere considerato lean, secondo gli esperti, se rispetta quattro caratteristiche essenziali:
#1 Un sistema di threat intelligence in tempo reale – Un SOC lean può raccogliere, aggregare e deduplicare automaticamente i feed delle minacce provenienti da una vasta gamma di fonti e supportare dei database multiple-threat, tra cui STIX / TAXII, OpenIOC, Facebook e fonti personalizzate definite dall’utente. La capacità di raccogliere e analizzare le informazioni sulle minacce in tempo reale permette di non lasciare l’azienda esposta ad attacchi già rilevati e contrastati da altri.
#2 Analisi e visualizzazione dei dati avanzate – I SOC lean assegnano una priorità, contestualizzando e analizzano le minacce attraverso cruscotti intuitivi che forniscono anche suggerimenti sulle opportune misure correttive da attuare. Il rilevamento delle minacce può essere automatizzato con un sistema di analisi dei dati che include strumenti di apprendimento automatico e di analisi del comportamento degli utenti. Insieme, algoritmi e visualizzazioni di machine-learning riducono al minimo i falsi positivi: questo aspetto permette agli analisti della sicurezza di concentrare la propria attenzione sulle minacce reali, senza inseguire falsi allarmi.
#3 Funzioni avanzate di ricerca e filtraggio dei dati – Un SOC lean segnala proattivamente gli incidenti di sicurezza reali per aiutare i security analyst a indagarne e comprenderne la portata e le caratteristiche. Integrando funzioni avanzate di ricerca e filtraggio dei dati, gli analisti possono ridurre il tempo speso a cercare tra infiniti volumi di dati sparsi in decine di sistemi diversi. Le attività di ricerca e filtraggio aiutano gli analisti a mettere in correlazione attività apparentemente scollegate che fanno invece parte di un singolo attacco avanzato.
#4 Automazione avanzata – I team impegnati nell’ambito della sicurezza IT possono raccogliere informazioni a livello di programmazione, aggregare dati provenienti da una vasta gamma di prodotti per la sicurezza e fonti di dati e intraprendere azioni di risposta in tutto l’ecosistema di sicurezza. Le organizzazioni possono creare, in ambito security, l’equivalente del continuous delivery automatizzando i processi, quando possibile, attraverso azioni costanti di monitoraggio e reporting e agendo sugli incidenti di sicurezza dell’intera infrastruttura. Per aumentare la capacità di rilevazione delle minacce e l’efficienza del personale, le funzioni di automazione dovrebbero includere regole prescrittive e di apprendimento automatico in grado di gestire le attività di routine.
L’agilità di un servizio cloud
Il passaggio al cloud può snellire ulteriormente un SOC lean. Gli esperti ritengono che utilizzare una piattaforma SaaS per un SOC permette di ridurre significativamente la spesa operativa (OpEx) ed eliminare la spesa di capitale (CapEx). Il cloud, inoltre, assicuro che gli investimenti aziendali per la sicurezza vadano a favore delle persone e dei processi piuttosto che dell’infrastruttura e della manutenzione. Il SaaS velocizza sensibilmente la distribuzione del SOC e, con il giusto provider, fornisce implementazioni affidabili, sicuri e a prova di cliente. Un SOC lean basato sul cloud, infatti, consente ai team di sicurezza di focalizzarsi sui compiti relativi alla sicurezza stessa, non su questioni relative all’amministrazione e all’infrastruttura.
Un Security Operations Center per l’IT contemporaneo
In conclusione, gli esperti, ritengono che nel complesso panorama della sicurezza informatica di oggi sia quasi impossibile riuscire a mantenere alti gli standard di sicurezza senza l’aiuto di un Security Operations Center progettato appositamente per un panorama IT dinamico, sfaccettato e sempre più ricco di dati. Un SOC lean, che offre funzioni di raccolta dei dati, analisi e automazione, garantisce infatti alle aziende un rilevamento delle minacce in tempo reale, oltre ad adeguate azioni di reporting e di risposta agli incidenti. Questo consente ai professionisti della sicurezza di lavorare in un ambiente ottimizzato, concentrandosi sulla prevenzione e sulla risoluzione rapida dei problemi.