Il panorama delle minacce informatiche presenta continuamente nuove sfide per le organizzazioni, che si trovano a dover stare al passo con avversari rapidi e sofisticati. Nel 2023, gli attori delle minacce hanno perpetuato attacchi malware free per ottenere l’accesso iniziale nel 75% dei casi, mettendo in luce una pericolosa evoluzione nelle tattiche. Dato ancora più impressionante, il tempo medio di “breakout” nell’eCrime, ossia il tempo che impiegano gli avversari per muoversi lateralmente dopo aver compromesso un host, è stato di soli 62 minuti e il tempo di breakout più veloce osservato è stato di appena 2 minuti e 7 secondi. Fermare gli attacchi moderni richiede ai team di sicurezza di essere in grado di rispondere con la stessa velocità degli avversari, ma i SIEM legacy stanno ponendo dei freni.
I SIEM legacy oggi: “buchi neri” per i dati?
Progettati per un’epoca in cui i volumi di log erano più piccoli e gli avversari più lenti, questi sistemi non sono riusciti ad evolversi e a scalare di pari passo con la crescita dei dati e con le moderne minacce avanzate. I team di sicurezza faticano a investigare gli attacchi rapidamente, spesso gestendo una combinazione di SIEM obsoleti, data lake disorganizzati e strumenti di analisi non integrati.
I SIEM legacy oggi sono visti come veri e propri “buchi neri” per i dati, che si allargano man mano che assorbono più telemetria e generano alti volumi di falsi positivi, portando di conseguenza a tempi di risposta lenti, operazioni inefficienti e costi alle stelle.
La nuova generazione di SIEM
I SIEM di nuova generazione (next-gen SIEM) rappresentano un salto in avanti nell’aiutare i team di sicurezza a combattere le minacce moderne. Progettati da zero per convergere dati, AI e automazione dei flussi di lavoro in una piattaforma di cybersecurity unificata, i SIEM di nuova generazione permettono ai team di sicurezza di operare più velocemente ed efficientemente per raggiungere l’obiettivo che conta di più: fermare le violazioni.
Grazie al next-gen SIEM chi opera all’interno del SOC (Security Operation Center) può massimizzare efficienza ed efficacia. Per fare alcuni esempi:
Security engineers
I Security Engineer affrontano la sfida quotidiana di gestire i SIEM legacy con lunghi progetti di migrazione dati, architetture complesse e frammentate.
Il next-gen SIEM trasforma l’onboarding dei dati, fornendo ai security engineer le informazioni necessarie, come i dati degli endpoint, dell’identità e del workload cloud, all’interno di una piattaforma unificata. I security engineer non devono più affrontare innumerevoli cicli di onboarding dei dati o affrontare problemi di latenza di rete o strozzature di ingestione di dati, grazie al fatto che tutte le informazioni più critiche dal punto di vista del rilevamento e risposta fluiscono senza problemi all’interno della piattaforma stessa. Il next-gen SIEM ingerisce, normalizza, trasforma e standardizza qualsiasi dato aggiuntivo necessario con connettori e parser predefiniti, così i team spendono meno tempo nella gestione dei dati e possono dedicarne di più a combattere le minacce.
Security analysts
I SIEM legacy costringono i security analyst a navigare tra più strumenti e console per estrarre significato dai dati e li sovraccaricano di avvisi low fidelity e processi manuali, il che porta a indagini lente e attacchi non rilevati.
Come parte di una piattaforma unificata, il next-gen SIEM elimina la necessità per i security analyst di passare da uno strumento all’altro, consentendo di analizzare le minacce più rapidamente. La sua automazione del flusso di lavoro integrata aiuta gli analisti a semplificare i processi e rispondere in modo efficiente alle minacce. Semplificando le fasi di correlazione e automazione della risposta agli incidenti, il next-gen SIEM permette agli analisti di concentrarsi sulle attività ad alta priorità senza essere interrotti da processi manuali.
Il next-gen SIEM sfrutta anche la potenza dell’automazione dell’AI generativa e della visualizzazione intuitiva degli attacchi per elevare gli analisti di tutti i livelli di abilità, in modo che possano facilmente classificare e investigare gli incidenti.
Threat hunter (cacciatori di minacce)
I Threat Hunter sono costantemente in corsa contro il tempo per scoprire le minacce prima che arrechino danni.
Il next-gen SIEM offre ai threat hunter la velocità necessaria per identificare rapidamente le minacce, offrendo performance di ricerca fino a 150 volte più veloci rispetto ai SIEM legacy. Inoltre, esso fornisce ai threat hunter un linguaggio di query e flussi di lavoro robusti, così che possano ottenere il contesto necessario per identificare minacce nascoste all’interno dell’organizzazione.
Chief Information Security Officer (CISO)
Di fronte a minacce sempre più gravi e costi in aumento, come possono i CISO tracciare un percorso verso un futuro in cui possano soddisfare le esigenze delle loro aziende e dormire sonni tranquilli?
Il next-gen SIEM aiuta i CISO a raggiungere i loro obiettivi strategici. Consolidando più strumenti in una singola piattaforma, il next-gen SIEM riduce la complessità del SOC e il sovraccarico amministrativo. Ciò consente ai CISO di concentrarsi su iniziative strategiche per migliorare il livello di sicurezza dell’organizzazione.
Il next-gen SIEM rappresenta una cruciale evoluzione nella cybersecurity, offrendo alle organizzazioni la velocità, l’efficienza e la convenienza economica necessarie per combattere le minacce moderne. Dato che gli avversari diventano sempre più veloci e sofisticati e la crescita dei dati è la nuova normalità, abbracciare questa tecnologia trasformerà le operazioni di sicurezza e darà ai team il vantaggio necessario per stare un passo avanti agli avversari in un panorama digitale sempre più complesso.
Di Fabio Fratucello, Field CTO, International di CrowdStrike
