Il fattore tempo ha un ruolo cruciale nella sicurezza informatica. Influenza molti aspetti della strategia di difesa di un’organizzazione, tra cui la marcatura temporale degli eventi, il fatto che avvengano o meno durante l’orario lavorativo, il contesto dell’evento, ad esempio dopo un importante cambiamento aziendale o durante una specifica stagione, e il tempo impiegato per rilevare e rispondere agli incidenti.
Benché la maggior parte dei fattori legati al tempo siano al di fuori del controllo dei team di sicurezza, il tempo impiegato per rilevare e rispondere agli attacchi informatici rientra pienamente nella loro responsabilità e ha un impatto diretto sulla sicurezza complessiva dell’organizzazione.
Quando meno è meglio
Quando si definisce una strategia di sicurezza, “di più” non significa sempre “meglio”. Più strumenti, più data set e strategie più isolate spesso comportano tempi di indagine più lunghi e minore efficienza.
Il volume di avvisi generati da molteplici strumenti indipendenti può anche sopraffare gli analisti e complicare l’analisi degli incidenti. Sebbene il tempo medio di rilevamento (MTTD o Mean Time To Detect) per i singoli strumenti possa sembrare breve, il tempo complessivo necessario per correlare gli eventi e identificare le cause profonde su più sistemi può aumentare notevolmente.
Dal punto di vista della risposta, il tempo medio di risposta (MTTR o Mean Time To Response) dovrebbe essere mantenuto il più breve possibile, poiché risposte tardive possono amplificare l’impatto di un attacco. Gli attacchi informatici possono causare danni sia finanziari che reputazionali e, sebbene gli effetti possano non essere immediatamente visibili, il costo di un incidente in genere cresce con il trascorrere del tempo, come evidenziato nel report Cost of a Data Breach Report 2025 di IBM.
Suddividere i silos di sicurezza
A differenza degli ambienti IT tradizionali, in cui i dipendenti lavoravano entro confini organizzativi definiti, il panorama digitale odierno si estende ben oltre gli uffici fisici e persino oltre i confini nazionali. Questo perimetro distribuito rende molto più difficile monitorare dispositivi, attività e potenziali minacce.
L’utilizzo diffuso di dispositivi personali, shadow IT e applicazioni non autorizzate amplia ulteriormente la superficie di attacco e rende la sfida ancora più complessa.
Il passaggio più importante per qualsiasi centro operativo di sicurezza (SOC) è analizzare i silos prima di tentare di formare un quadro completo del panorama di sicurezza dell’organizzazione.
SIEMulare il SOC
Una soluzione semplice è implementare una piattaforma unificata di gestione delle informazioni e degli eventi di sicurezza (SIEM o Security Information and Event Management) in grado di acquisire dati da più fonti e integrarsi con gli strumenti esistenti nell’ecosistema IT. La scelta della piattaforma SIEM e del modello di implementazione più appropriati è fondamentale per garantire l’allineamento con le esigenze organizzative.
Il vantaggio principale di una soluzione SIEM risiede nella visibilità e nel rilevamento centralizzato che offre. Gli strumenti SIEM possono analizzare singoli eventi, rilevare incidenti di sicurezza in base ai dati di log e attivare risposte automatiche per ridurre l’impatto complessivo degli attacchi. Questo obiettivo si ottiene principalmente in tre modi:
1. Integrazione con strumenti esistenti: Le soluzioni SIEM possono integrarsi con diversi strumenti tramite API, connessioni a database o protocolli standard di acquisizione dati. Una volta raccolti, i dati vengono analizzati, normalizzati e processati per fornire informazioni fruibili.
2. Utilizzare le informazioni sulle minacce: Le piattaforme SIEM più moderne integrano feed di minacce esterne e database di intelligence. Correlando l’attività interna con queste informazioni, possono identificare fonti di minacce note, rilevare indicatori di compromissione e persino scoprire indicatori di violazione dei dati dal monitoraggio del dark web.
3. Utilizzare flussi di lavoro e procedure predefinite: i flussi di lavoro e le procedure di risposta automatizzate consentono una mitigazione più rapida delle minacce e garantiscono una gestione efficiente degli incidenti, anche al di fuori dell’orario lavorativo.
Unire SIEM e SOAR per un’automazione completa
Mentre le piattaforme SIEM si concentrano su rilevamento e correlazione, le soluzioni di orchestrazione, automazione e risposta alla sicurezza (SOAR o Security Orchestration Automation and Response) compiono un ulteriore passo avanti automatizzando le azioni di risposta agli incidenti. Integrando SIEM e SOAR, le organizzazioni possono attivare automaticamente flussi di lavoro come l’isolamento degli endpoint compromessi, la disabilitazione degli account violati o l’escalation degli incidenti agli analisti con il contesto completo. Questa integrazione non solo riduce l’MTTR, ma aiuta i team SOC a stabilire le priorità in modo efficiente per le minacce particolarmente gravi. Consente agli analisti umani di concentrarsi sulle decisioni strategiche anziché su attività operative ripetitive.
Un altro importante vantaggio delle soluzioni SIEM è la loro capacità di operare su data lake, ovvero repository di archiviazione per grandi quantità di dati grezzi conservati nei loro formati nativi. Centralizzando i dati provenienti da strumenti isolati in un data lake unificato, le soluzioni SIEM sono in grado di eseguire correlazioni e analisi avanzate su larga scala. Questa architettura migliora l’efficienza dei costi, la scalabilità e la profondità analitica. Tuttavia, introduce anche potenziali complessità quali la normalizzazione dei dati, l’analisi in tempo reale e l’arricchimento dei dati, che devono essere affrontate per garantire accuratezza e prestazioni.
Gli strumenti SIEM più moderni supportano anche il rilevamento delle minacce basato sul comportamento. Possono apprendere le normali linee di base delle attività e identificare anomalie, minacce interne e furti di account prima che degenerino. Inoltre, le soluzioni SIEM possono mappare gli eventi sul framework MITRE ATT&CK®, aiutando gli analisti a tracciare tattiche, tecniche e procedure utilizzate dagli avversari nelle diverse fasi di attacco.
Verso un futuro di maggiore sicurezza e resilienza
La cybersecurity è una disciplina in continua evoluzione e non una regolamentazione standard da aggiornare una tantum. Le organizzazioni dovrebbero disporre di una strategia chiara e perfezionarla regolarmente. Una tendenza crescente è l’outsourcing del SOC a fornitori di servizi di sicurezza gestiti, anche a causa della carenza di talenti interni, degli strumenti limitati e delle competenze apportate dai partner esterni. Tuttavia, tali decisioni dovrebbero essere prese con attenzione, considerando la sensibilità dei dati aziendali e i requisiti di conformità.
L’obiettivo finale dovrebbe essere quello di ridurre al minimo i tempi di inattività e garantire la disponibilità continua delle risorse cruciali, supportando il funzionamento fluido e ininterrotto dell’organizzazione.
Per raggiungere questo obiettivo, è necessario concentrarsi sulla riduzione di MTTD e MTTR. Sfruttando piattaforme di rilevamento centralizzate come SIEM, potenziate con flussi di lavoro di risposta automatizzati tramite SOAR, le organizzazioni possono correlare gli eventi provenienti da più strumenti, rilevare le minacce più rapidamente e rispondere in modo efficiente prima che gli incidenti si aggravino. In questo modo, i dati diventano informazioni fruibili, consentendo una difesa proattiva e garantendo che le operazioni di sicurezza supportino direttamente la resilienza dell’azienda.
Con la continua evoluzione dell’intelligenza artificiale, le organizzazioni dovrebbero sfruttarne le capacità per migliorare il rilevamento delle minacce, l’automazione della risposta e l’analisi predittiva. L’analisi basata sull’AI può ridurre significativamente l’MTTD identificando modelli, anomalie e potenziali minacce più rapidamente rispetto ai tradizionali sistemi basati su regole.
Analogamente, l’automazione e il supporto decisionale basati sull’intelligenza artificiale possono ridurre l’MTTR consentendo una più rapida valutazione, definizione delle priorità e risoluzione degli incidenti. In definitiva, la sicurezza informatica è uno sforzo collaborativo e spetta alla comunità della sicurezza collaborare, condividere informazioni e difendersi dal panorama delle minacce in continua evoluzione.
Di Raghav Iyer S, Senior IT Security Analist di ManageEngine
