Le SecOps di nuova generazione sono, prima di tutto, intelligenti

I team addetti alle Security Operations devono affrontare sfide sempre più difficili: dall’eccesso di avvisi, alla carenza di strumenti di automazione, alla scarsità di risorse e finanziamenti. Per riuscire a difendere efficacemente le loro organizzazioni i responsabili dei SOC sono chiamati a rivedere i modelli secondo un approccio di nuova generazione guidato dall’automazione e dal Machine Learning. Le soluzioni ArcSight di CyberRes permettono di conseguire tali obiettivi e di realizzare un SOC più efficiente, automatizzato e allineato agli obiettivi di business.

La scarsità di risorse specializzate unitamente a uno scenario di rischio in costante aumento in termini di numero di attacchi e di sofisticazione degli stessi crea importanti sfide di efficienza per le aziende, che sono chiamate a rivedere le modalità con cui effettuano le loro operazioni, alla ricerca non solo della massima sicurezza, ma anche di un livello di efficienza operativa sempre più elevato.

Il team dedicato alla gestione delle Security Operation (SecOps) ha il compito di difendere la propria organizzazione da un’ampia varietà di attacchi, molti dei quali sono incredibilmente difficili da individuare.

Le sfide che questi team sicurezza devono affrontare sono molteplici e in aumento. Il primo ostacolo è riuscire a monitorare la sicurezza su una superficie di attacco in costante crescita. L’implementazione di strumenti di analisi della sicurezza non risolve il problema perché ogni dispositivo e ogni sistema trasmette enormi quantità di dati nell’ambiente aziendale, determinando un eccesso di avvisi che non riesce a essere gestito.

A ciò si aggiungono: ambienti suddivisi in silos che causano inefficienze operative; carenza di personale tecnico qualificato; scarsa adozione di metodi di orchestrazione all’interno del Security Operations Center(SOC); una carente visibilità dello scenario di sicurezza complessivo; scarsità di strumenti di automazione che portano ancora a dover affrontare innumerevoli operazioni di sicurezza in modo manuale.

In uno scenario in cui i falsi positivi e la stanchezza da allerta abbondano, i professionisti della sicurezza faticano a ottenere gli approfondimenti contestuali di cui hanno bisogno per comprendere appieno le minacce e prendere decisioni informate. Il risultato è una condizione di stanchezza e logoramento in cui i team di sicurezza devono affrontare troppi dati, troppi avvisi senza disporre mai di abbastanza tempo o risorse per rispondere adeguatamente.

Mettere l’intelligenza nel SOC

All’interno dei miliardi di dati analizzati nel SOC si nasconde un piccolo numero di indizi in cui un malintenzionato sta cercando di rubare informazioni preziose. Gli approcci tradizionali basati sulla sicurezza non sempre riescono a cogliere comportamenti altamente dinamici e sottili che passano sotto il radar delle regole tradizionali. Per riuscire ad affrontare queste sfide una priorità assoluta è costruire processi ripetibili, automatizzati e dinamici supportati da requisiti di intelligenza.

L’importante ruolo dell’intelligenza artificiale e dell’automazione nel colmare il gap della sicurezza informatica è evidenziato anche nella ricerca “The 2022 Study on Closing the IT Security Gap: Global” realizzata dal Ponemom Institute. I tre principali vantaggi dell’uso di AI e ML sono indagini più efficienti (42% degli intervistati), team di sicurezza più efficaci (38% degli intervistati) e una migliore integrazione con le fonti di intelligence sulle minacce (35% degli intervistati). Inoltre, oltre la metà 52% degli intervistati afferma che Machine Learning e analisi comportamentale sono essenziali per rilevare gli attacchi all’interno prima che facciano danni.

Tutto ciò porta alla constatazione che ciò che serve oggi è un “SOC intelligente” guidato da tecnologie di intelligenza artificiale e Machine Learning non supervisionato, che permetta di prevenire, fronteggiare e ripristinare la normalità nel minor tempo possibile, aumentando in modo significativo l’efficienza e l’efficacia operativa grazie all’accelerazione del rilevamento e della risposta alle minacce reali. Questo SOC di nuova generazione deve poter fornire una consapevolezza olistica della situazione e semplificare i processi end-to-end, mettendo a disposizione anche funzionalità SOAR native completamente integrate.

Inoltre, questo modello di SOC deve guardare più al business che alla tecnologia, nel senso che anche la ricerca sulle minacce dovrebbe essere incentrata sugli attributi rilevanti per l’azienda, come l’esposizione alle perdite annualizzate, il settore, l’impatto, l’attività e le conseguenze della mancata individuazione di una violazione.

“Le tecnologie di AI e Machine Learning possono aumentare drasticamente l’efficienza e migliorare la velocità di rilevamento e risposta alle minacce – spiega Pierpaolo Alì, Director Southern Europe, Russia, CIS, CEE & Israel di CyberRes – perché abilitano un’efficace ricerca delle minacce e permettono di comprendere quali sono le sorgenti da monitorare e il tipo di dati che servono per ottenere un’analisi efficace. A tal fine, le soluzioni ArcSight di CyberRes fanno affidamento sul framework Mitre Att&ck, che mette a disposizione metodologie consolidate e tecniche di difesa estrapolate da casi reali.”

ArcSight per un SOC intelligente allineato alle esigenze di business

Per allineare la sicurezza al business CyberRes mette a disposizione un framework integrato abbinato a una serie di funzionalità per progettare, implementare e far funzionare un SOC su scala globale capace di supportare il business, abilitare la trasformazione digitale e guidare un allineamento strategico tra business, Operation e cyber security

Il portafoglio di soluzioni aperte e integrate CyberRes ArcSight contribuisce a ridurre in modo proattivo l’esposizione e ad aumentare l’efficienza operativa attraverso:

  • una piattaforma SecOps integrata a 360 gradi che semplifica e migliora la contestualizzazione e l’analisi dei dati potendo disporre di un data store comune, di un motore dedicato per l’analisi di big data e di un’interfaccia utente intuitiva per le analisi di sicurezza;
  • un approccio di analytics stratificato che combina molteplici strumenti gestiti attraverso un’unica interfaccia utente, un motore di correlazione di prima classe, analisi comportamentale con il supporto di tecnologie di Machine Learning non supervisionato, threath intelligence, event hunting, SOAR e una stretta integrazione con il framework Mitre&Attacck per rilevare e rispondere rapidamente alle minacce;
  • strumenti di automazione per le attività ripetitive che sfruttano tecnologie di AI e ML per analizzare situazioni sospette.

Una componente tecnologica importante di questo approccio è ArcSight Intelligence, la soluzione di ML non supervisionato che abilita analisi comportamentale degli utenti e delle entità, avvalendosi di centinaia di modelli che analizzano quantità massicce di dati apprendendo continuamente modelli comportamentali normali per ogni utente, ogni macchina, ogni stampante, ogni indirizzo IP, ogni entità all’interno dell’ambiente aziendale.

Grazie ad ArcSight Intelligence, il team del SOC può analizzare più dati, rilevare più minacce, rispondere più rapidamente e liberare tempo prezioso che altrimenti verrebbe impiegato per svolgere attività manuali o per inseguire falsi positivi.

Maggiori Informazioni: https://cloudsecurity.cyberres.com/intelligent-secops/

 

Condividi sui Social Network:

Ultimi Articoli