I dati delle ricerche della Palo Alto Networks, multinazionale leader nella sicurezza informatica e nostro partner strategico, dicono che gli analisti dei SOC (Security Operations Center) riescono a gestire solo il 14% degli alert ricevuti dai sistemi di sicurezza informatica.
Considerato che secondo IDC (prima società mondiale di ricerche di mercato) la maggior parte degli alert risulta essere un falso positivo, le conseguenze sono prevedibili: molti alert vengono ignorati, gli analisti perdono tempo seguendo piste sbagliate e trascurano le vere minacce.
In cosa consiste un SOC
Un Security Operation Center (SOC) rappresenta un asset critico per un’organizzazione che può subire attacchi informatici. Può essere creato in azienda, fruito come servizio gestito, oppure implementato in modo ibrido. L’importante è averlo e farlo cooperare con le analoghe strutture nazionali.
In poche parole, è un sistema in cui vengono convogliate tutte le informazioni di sicurezza del reparto IT di un’azienda o più di una, monitorato costantemente da persone e tecnologie.
Checklist per alleviare lo stress da alert
Oltre alla prevenzione, la maggior parte degli strumenti di sicurezza sono progettati per svolgere una funzione chiave: creazione e risposta agli avvisi. L’ipotesi ottimistica è che gli analisti analizzeranno e rileveranno comportamenti sospetti sulla base di tali avvisi. Ma questa prassi viene meno dal momento che gli analisti iniziano a ricevere centinaia di avvisi irrilevanti ogni giorno.
Se venissero eliminati i sistemi automatici di rilevazione, si verrebbero a creare dei pericolosi punti ciechi nel sistema informatico. L’assenza (o drastica diminuzione) di alert è un problema tanto importante quanto l’abbondanza di messaggi. Dovremmo invece utilizzare la tecnologia in maniera più smart risolvendo il problema, anziché crearne di nuovi.
In sostanza, abbiamo sicuramente bisogno di alert, ma dovrebbero essere più precisi. Questo implica l’adozione di nuovi concetti e processi che elenchiamo di seguito:
1. Automazione
Come prima cosa, ogni organizzazione può migliorare il proprio triage degli alert utilizzando l’automazione. Palo Alto Network sostiene che tutte le operazioni di sicurezza del Tier 1 possono (e devono) essere automatizzate tramite SOAR (Security Orchestration, Automation and Response) che risponde usando linee guida predefinite. Per il triage dell’alert, le azioni consistono nell’analisi, nell’eventuale aggiornamento di un evento già noto, nell’apertura di un nuovo evento e nella classificazione dell’alert da inviare all’analista. Automatizzare questo processo significherebbe ridurre sensibilmente il numero degli avvisi a cui rispondere, permettendo agli analisti di dedicarsi maggiormente all’analisi e soluzione delle problematiche più gravi.
2. Aggregazione dei dati
Al fine di avere visione quanto più completa dell’evento, nei SOC c’è bisogno di iniziare ad integrare tool e dati anziché ragionare a silos.
Se ad esempio avessimo 7 strumenti che non si parlano fra di loro per monitorare 7 specifiche parti dell’infrastruttura informatica, non sarebbe possibile conoscere il contesto in cui accade un determinato evento. Non si potrebbe determinare se una determinata azione che ha impatti positivi su un alert, in realtà non stia danneggiando altre parti dell’infrastruttura. Oppure, potremmo passare ore a rintracciare un malware che si è intrufolato nel tuo EPP per poi scoprire che era già stato bloccato dal firewall.
Una piattaforma di sicurezza integrata permette di avere insight molto ampi e rilevanti.
3. Machine Learning
Infine, un software ERP (enterprise resource planning) dovrebbe avere capacità di machine learning che gli consentano di riconoscere gli eventi in modo da poter apprendere e migliorare. Un buon software EDR (Endpoint Detection and Response) dovrebbe attingere alle fonti di dati integrate e continuare a perfezionare il proprio algoritmo per generare alert rilevanti, classificati e specifici.
Se sei un’azienda e non sai a chi affidare il tuo SOC, contattaci.