Umberto Pirovano, Senior Manager of Systems Engineering di Palo Alto Networks, illustra quali sono i principali problemi riscontrati dai Security Operations Centers (SOC) durante le attività di monitoring e incident response.
I team di sicurezza svolgono un compito di vitale importanza per l’ecosistema aziendale, ossia proteggere le organizzazioni da un panorama di minacce in costante evoluzione. Dalle analisi del team di threat intelligence Unit 42, presso Palo Alto Networks, è risultato che i cybercriminali sono in grado di realizzare attacchi in modo ancora più rapido rispetto agli anni scorsi, passando dalla compromissione iniziale all’esfiltrazione dei dati in poche ore. I team di sicurezza, invece, impiegano in media 5,5 giorni per contenere un incidente una volta individuato. Com’è possibile?
Le problematiche riscontrate dai SOC e una nuova soluzione
I team di sicurezza, nel corso degli ultimi anni, hanno compiuto passi da gigante per meglio contrastare le minacce, diventate sempre più insidiose. Questi hanno investito molto sulla loro infrastruttura operativa, costruendo centri di sicurezza all’avanguardia e avvalendosi di numerosi strumenti di protezione per generare e raccogliere grandi quantità di dati in tutte le aziende.
Tuttavia, secondo Umberto Pirovano, i security operations center moderni sono afflitti da una serie di problemi che ne impediscono il funzionamento ottimale.
Eterogeneità degli strumenti e dei dati
I SOC di oggi sfruttano strumenti, sia hardware che software, provenienti da fornitori differenti e che eseguono ognuno funzioni di sicurezza specifiche. Ad esempio, un programma come Tenable Nessus si occupa di individuare eventuali vulnerabilità presenti nel network, mentre Microsoft Defender for Endpoints fornisce protezione per gli endpoint.
Questi strumenti sono indispensabili per garantire un buon servizio di sicurezza, ma spesso non sono in grado di comunicare fra loro. I team di cybersecurity cercano di ovviare a questo problema con Security Information and Event Management (SIEM), ossia software che integrano funzionalità di monitoring e gestione dei dispositivi e della rete, aumentando però la complessità operativa del SOC.
Debole difesa dalle minacce
Le aziende producono ingenti quantità di dati, dai log generati dai sistemi di rilevazione endpoint, al traffico di rete, ai registri di gestione delle identità e degli accessi e infine ai dati applicativi. Tutti questi dati potrebbero contenere informazioni su attività sospette o pericolose.
Tuttavia, non è saggio affidarsi esclusivamente alla correlazione statica o a strumenti di rilevazione automatica, in quanto consentono di individuare solo una parte di queste attività anomale e spesso danno luogo a falsi positivi. Questo si traduce nell’incapacità di bloccare le minacce su larga scala, o comunque di rallentare considerevolmente la velocità di risposta agli attacchi.
Forte dipendenza dalle attività manuali
Non è raro che i SOC si ritrovino a dover gestire un numero elevato di avvisi imprecisi generati dai vari strumenti di sicurezza impiegati. Ciò rende difficile il lavoro di prioritizzazione e, nel caso peggiore, alcuni avvisi importanti vengono ignorati o trascurati.
L’analisi e la risoluzione manuale degli avvisi richiedono molto tempo, traducendosi in una lenta risoluzione degli incidenti. Per ovviare a questo problema, bisognerebbe aumentare l’automazione dei processi e, come detto prima, adottare soluzioni SIEM.
Il ruolo dell’intelligenza artificiale nei SOC
Qui entra in campo l’intelligenza artificiale. Stanno infatti comparendo sul mercato soluzioni innovative in grado di far convergere le capacità dei SOC applicando un approccio orientato all’automazione, semplificando le operazioni di sicurezza e accelerando la risoluzione degli incidenti. L’augurio del senior manager di Palo Alto Networks è quello di ridurre al minimo il tempo che intercorre tra la scoperta di un’anomalia e la risoluzione del problema.
A tal proposito, dall’anno scorso Palo Alto Networks offre Cortex, nuova soluzione basata su AI in grado di automatizzare rilevazione delle anomalie e semplificare il processo di incident response.