Di fronte alla continua evoluzione delle minacce informatiche, anche le strategie di sicurezza delle organizzazioni devono trasformarsi. Stiamo assistendo a un aumento significativo degli attacchi informatici, cresciuti in numero e sofisticazione, capaci di bypassare i sistemi di autenticazione multi-fattore e di penetrare rapidamente all’interno dei sistemi aziendali. Per far fronte alle moderne minacce, dunque, non basta più concentrarsi sulla prevenzione, ma è necessario rilevare e bloccare i movimenti degli attaccanti dentro l’ambiente proprio dell’organizzazione. Il Security Operation Center (SOC) tradizionale, costruito attorno alle funzionalità di legacy detection SIEM, oggi appare obsoleto e non più in grado di contrastare efficacemente gli attuali attacchi informatici. Troppo incentrato sulla prevenzione e sulla reazione agli eventi già verificatisi, impiega strumenti costosi, ma che producono risultati limitati, fallendo nel rilevare le minacce in corso. È arrivato il momento di una vera e propria trasformazione del SOC.
Non è, infatti, abbastanza selettivo e perciò incapace di individuare tra tutti gli alert quelli davvero pericolosi. Con l’espandersi delle superfici di attacco, raccogliere volumi elevati di anomalie poco rilevanti, per poi passare al setaccio un insieme enorme di dati alla ricerca di minacce reali, si rivela una strategia poco efficace.
Senza contare che, in una recente indagine di Vectra AI, l’89% dei responsabili della sicurezza concorda nel sostenere che gli approcci tradizionali non siano adatti alle minacce moderne. In Italia il 40% ammette di non riuscire a rilevarle, con il 27% che lamenta una scarsa visibilità tra i diversi ambienti (cloud, endpoint, data center, IoT).
Trasformazione del SOC: possibile con l’Intelligenza Artificiale
Le minacce odierne richiedono, dunque, una trasformazione radicale del SOC, sia in termini di strategia di sicurezza adottata sia a livello di tecnologie impiegate. La strada verso una vera resilienza organizzativa passa attraverso un SOC guidato dall’intelligenza artificiale.
Modernizzare il SOC significa adottare un approccio che guardi al futuro e che dia priorità alla visibilità e ai flussi di lavoro. Il moderno centro di sicurezza dovrebbe utilizzare ancora log e analisi SIEM, ma arricchite con dati provenienti dagli endpoint e dalla rete. Il SOC 2.0 mette insieme endpoint detection and response (EDR) e network detection and response (NDR) potenziata dall’intelligenza artificiale, creando una rete tra on-prem, cloud e app, che consenta di rilevare attività sospette e movimenti laterali degli attaccanti.
Il moderno SOC deve avere una visibilità totale su tutta l’organizzazione, dal data center alle applicazioni SaaS, dagli endpoint di rete al cloud pubblico. La trasformazione del SOC supera il modello tradizionale, per abbracciare una nuova dimensione che porta con sé vantaggi evidenti in termini di resilienza, efficienza e garanzia di sicurezza:
- resilienza, perché l’organizzazione resiste e respinge meglio i moderni attacchi sempre più sofisticati;
- efficienza, perché i responsabili della sicurezza si liberano di strumenti e tecnologie legacy che non lavorano bene insieme o non funzionano più nel panorama delle moderne minacce, rendendo le sfide di compliance più facili da affrontare;
- garanzia che gli aggressori non abbiano un posto dove nascondersi, che le minacce critiche vengano messe in primo piano grazie a un’attenta analisi del contesto e che il Machine learning tenga il SOC al passo con l’evoluzione del panorama delle minacce.
di Massimiliano Galvagna, Country Manager Italia di Vectra AI
