Cyber Security – Estendere il rilevamento e la risposta: perché il contesto è necessario per la sicurezza

Articolo a firma di Emilio Turani, Managing Director per Italia,
South Eastern Europe, Turchia e Grecia di Qualys

Il panorama delle minacce sta diventando più impegnativo. I team di sicurezza sono sotto organico e sovraccarichi di lavoro e stanno ancora recuperando dopo gli effetti ad ampio raggio della pandemia e alla luce situazione attuale. Sfortunatamente non c’è una fine in vista, mentre il divario di competenze si allarga e la complessità intorno alla gestione IT continua a crescere con programmi di lavoro a distanza che passano dall’essere un palliativo iniziale per superare il lockdown al “business as usual”. Gli attori delle minacce stanno diventando ogni giorno più sofisticati. Non è mai stato così difficile mantenere sicura la propria organizzazione.

Non c’è da stupirsi che molti professionisti della sicurezza cadano nella trappola di adottare numerosi strumenti di sicurezza per aiutarsi a far fronte a questi problemi. Nella speranza di utilizzare l’ultima e apparentemente più “grande” tecnologia, i CISO pensano che l’aggiunta di un altro livello di sicurezza ridurrà la loro esposizione al rischio. Se solo fosse così facile! Aggiungere più tecnologia può risolvere alcuni dei problemi, ma può anche diluire ulteriormente l’attenzione del team, portando a più problemi nel tempo.

Al contrario, a livello di board, c’è molta confusione. I membri sono sopraffatti dall’abbondanza di acronimi che circondano la sicurezza – Security Incident and Event Management (SIEM), Security Orchestration Automation and Response (SOAR) e Endpoint Detection and Response (EDR) per citarne alcuni che richiedono tutti investimenti, e che sembrano tutti incrociarsi. Ora c’è anche l’Extended Detection and Response (XDR), quindi come possono capire cosa sta fornendo un reale valore?

In realtà, il problema non è con gli strumenti. Ogni strumento – che sia SIEM, SOAR o EDR – è prezioso di per sé. Tuttavia, con ogni nuova integrazione, le organizzazioni si trovano di fronte a maggiori silos di dati. Ogni dashboard riporta le proprie metriche in base alla visibilità del suo angolo della rete aziendale e ai suoi casi d’uso specifici. Gli analisti devono poi affrontare una raffica di avvisi provenienti dalla loro gamma di soluzioni.

Questo porta a problemi in cui lo stesso allarme può essere segnalato a più team, o dove i problemi possono passare in secondo piano attraverso le lacune. Con gli analisti di sicurezza già stressati, questo può produrre un affaticamento sugli avvisi. Per risolvere questo problema, le soluzioni XDR sono progettate come il livello superiore per indagare ogni potenziale incidente nella property digitale, e consentire il rilevamento e la risposta in tempo reale agli incidenti. Tuttavia, non tutti gli XDR sono creati uguali.

Alcune soluzioni attuali riversano dati agli utenti, il che crea solo lavoro extra per l’analista che deve ancora interpretare questi dati e prendere innumerevoli decisioni manuali sull’azione richiesta. Le attuali soluzioni SIEM e XDR raccolgono passivamente e in modo reattivo log disparati e non correlati, il che crea una valanga di notifiche che pongono l’onere della correlazione e della prioritizzazione sull’analista della sicurezza. L’enfasi è di nuovo posta sull’utente che deve vagliare questi avvisi per individuare le minacce e dare priorità alla risposta e al rimedio in base alla loro analisi. Si tratta di un compito gravoso per qualsiasi team, se si considera la quantità di avvisi da affrontare quotidianamente, in particolare quando si ha a che fare con falsi positivi che fanno perdere tempo e influenzano il morale del personale.

È qui che entra in gioco il valore dell’insight nel contesto. In uno strumento, un log o un allarme potrebbe assomigliare a qualsiasi altro. Tuttavia, se combinato con l’intelligence esterna sulle minacce e con altri dati sulla sicurezza, quella richiesta innocua assumerà improvvisamente un nuovo significato e salirà rapidamente nella lista delle priorità. XDR è progettato per rompere i silos di dati e aiutare gli analisti a raggiungere una maggiore comprensione, creando una visione unificata dello stack tecnologico aziendale e delle sue minacce. Combinando più soluzioni e funzioni di sicurezza in un’unica piattaforma, gli analisti possono capire esattamente cosa sta succedendo nel loro ambiente da un’unica vista.

Gli analisti sono in grado di utilizzare il rumore di più avvisi provenienti da più piattaforme e trasformarlo in segnali che forniscono una visione unificata dello stack tecnologico aziendale. Mettendo in relazione i dati dell’inventario delle risorse e le informazioni sulle vulnerabilità, la telemetria degli endpoint di rete, le informazioni di alta qualità sulle minacce e i dati di registro di terze parti, possiamo fornire agli analisti un maggiore contesto su ciò che sta accadendo e portare a una risposta più efficace alle minacce in tempo reale.

Il contesto è la differenza tra il tempo sprecato in attività manuali e un’indagine più mirata dove è veramente necessario. Con i team di sicurezza a corto di personale e di tempo che lottano per supportare il lavoro in remoto e affrontare un maggior numero di attacchi, fornire il contesto utilizzando XDR è un modo efficace per fornire ciò di cui le aziende hanno bisogno per migliorare la loro risk posture e l’approccio alla sicurezza. Senza questo, i team sono destinati a continuare a lottare per riuscire a gestire i flussi di lavoro e affrontare i potenziali problemi in modo tempestivo.