Come si può abbattere un missile prima che colpisca il suo obiettivo? Questo è il problema che oggi devono affrontare i team di sicurezza IT. Con l’aumento dei cyberattacchi, il Security Operation Center (SOC), responsabile della gestione dei medesimi, rappresenta il nodo di questa sfida.
L’obiettivo è quello di potenziare il SOC per rispondere e prevenire tempestivamente il crescente numero di attacchi informatici.
L’importanza assunta dalla risposta agli incedenti.
Rispondere accuratamente agli attacchi può produrre un impressionante ritorno in termini di investimenti. Analizzando questo aspetto è emerso che le aziende dotate di un team IR hanno sostenuto costi inferiori rispetto a quelle che ne erano sprovviste. Ma il danno prodotto dai Data Breach, non si limita a quello finanziario. Ogni singola azienda fa parte di un’ampia value chain, di conseguenza, un incidente isolato può causare effetti negativi anche a distanza.
Se analizziamo ad esempio l’attacco informatico ai danni di Vastaamo, il più grande centro privato di psicoterapia in Finlandia, i cybercriminali, oltre ad aver sottratto informazioni sensibili dei pazienti, li hanno minacciati di divulgare le loro informazioni personali. Questo incidente, mostra chiaramente come i cyberattacchi possono arrecare danni anche sul piano personale e umano.
Il tempo è un fattore critico. Come lo salviamo?
Considerando i rischi e le conseguenze di questi attacchi, è fondamentale potenziare il SOC iniziando dal comprendere come individuarli e come gestirli correttamente.
Il processo di risposta agli incidenti prevede le seguenti fasi: minimizzazione del rischio, identificazione dell’incidente, contenimento, risposta, pulizia e recupero. In ciascuna di esse il tempo è un fattore critico, che richiede una risposta tempestiva ed efficiente, indipendentemente che si tratti di rilevare un attacco o di neutralizzarlo. Ciò che impedisce ai SOC di rispondere tempestivamente a queste minacce è determinato da un utilizzo improprio degli strumenti a disposizione. Di fatti, la maggior parte dei SOC installa un gran numero di strumenti prima di aver pianificato una strategia specifica. Tutto questo conduce all’installazione di strumenti di sicurezza frmmentati che privano i SOC di un workflow unificato.
In aggiunta, la mancanza di una remediation automatizzata, porta i SOC ad affidarsi al personale IT che però non è in grado di garantire la stessa velocità d’intervento di una macchina.
La scarsa interoperabilità di questo contesto e la marea di dati che ne conseguono, non permettono agli analisti di identificare gli attacchi. In aggiunta, la mancanza di dati contestuali rende impossibile definire il quadro completo della minaccia emergente e di individuarne la forma, il significato e l’entità.
Tutti questi aspetti rendono il processo di risposta agli incidenti disarticolato e difficile da controllare.
Il percorso da seguire per potenziare il SOC.
Per superare questa sfida i SOC devono valutare il proprio attuale processo di risposta agli incidenti, verificando che esso sia orientato al raggiungimento dei propri obiettivi.
Questi dovrebbero essere misurabili attraverso dei parametri specifici, in grado di individuare eventuali aree che potrebbero generare prestazioni scarse. Nella fase di minimizzazione del rischio, questi parametri dovrebbero essere orientati alla prevenzione, mentre in quelle successive dovrebbero riguardare il tempo impiegato per identificare, contenere, neutralizzare e rimediare agli incidenti.
Attraverso tecniche di misurazione appropriate si può progettare e implementare un processo di risposta agli incidenti end-to-end, senza soluzione di continuità, con procedure e ruoli ben definiti.
L’implementazione di una tool chain integrata, in grado di supportare i flussi di dati armonizzati, permetterà agli operatori e agli analisti di ottenere una piena visibilità della portata della minaccia risolvendo il problema in pochi minuti.
Conclusioni.
Lo sviluppo e l’adozione di workflow automatizzati per supportare il processo di risposta agli incidenti ridurrà l’interazione umana e la latenza in tutti i suoi stadi. Questo processo che porta a potenziare il SOC, guidato da obiettivi chiari come il rilevamento proattivo e il rapido contenimento delle minacce, contraddistingue la piattaforma Xdr di SentinelOne. La soluzione, nata sul cloud, si differenzia dai classici sistemi EDR in quanto garantisce di individuare sul nascere possibili minacce, in ogni ambiente e su qualsiasi dispositivo, attraverso tecniche moderne di behaviour analytics. In aggiunta, riduce i rischi e migliora l’efficienza delle operation del SOC, abilitando un percorso di digital transformation in totale sicurezza per i clienti. I vantaggi sono molteplici: riduzione del tempo di rilevamento, riduzione del tempo di permanenza della minaccia e l’utilizzo di una tecnologia automatizzata.
di Jan Tietze, Director Security Strategy EMEA di SentinelOne
