Le SecOps di nuova generazione sono, prima di tutto, intelligenti

A cura di:Redazione Ore

I team addetti alle Security Operations devono affrontare sfide sempre più difficili: dall’eccesso di avvisi, alla carenza di strumenti di automazione, alla scarsità di risorse e finanziamenti. Per riuscire a difendere efficacemente le loro organizzazioni i responsabili dei SOC sono chiamati a rivedere i modelli secondo un approccio di nuova generazione guidato dall’automazione e dal Machine Learning. Le soluzioni ArcSight di CyberRes permettono di conseguire tali obiettivi e di realizzare un SOC più efficiente, automatizzato e allineato agli obiettivi di business.

La scarsità di risorse specializzate unitamente a uno scenario di rischio in costante aumento in termini di numero di attacchi e di sofisticazione degli stessi crea importanti sfide di efficienza per le aziende, che sono chiamate a rivedere le modalità con cui effettuano le loro operazioni, alla ricerca non solo della massima sicurezza, ma anche di un livello di efficienza operativa sempre più elevato.

Il team dedicato alla gestione delle Security Operation (SecOps) ha il compito di difendere la propria organizzazione da un’ampia varietà di attacchi, molti dei quali sono incredibilmente difficili da individuare.

Le sfide che questi team sicurezza devono affrontare sono molteplici e in aumento. Il primo ostacolo è riuscire a monitorare la sicurezza su una superficie di attacco in costante crescita. L’implementazione di strumenti di analisi della sicurezza non risolve il problema perché ogni dispositivo e ogni sistema trasmette enormi quantità di dati nell’ambiente aziendale, determinando un eccesso di avvisi che non riesce a essere gestito.

A ciò si aggiungono: ambienti suddivisi in silos che causano inefficienze operative; carenza di personale tecnico qualificato; scarsa adozione di metodi di orchestrazione all’interno del Security Operations Center(SOC); una carente visibilità dello scenario di sicurezza complessivo; scarsità di strumenti di automazione che portano ancora a dover affrontare innumerevoli operazioni di sicurezza in modo manuale.

In uno scenario in cui i falsi positivi e la stanchezza da allerta abbondano, i professionisti della sicurezza faticano a ottenere gli approfondimenti contestuali di cui hanno bisogno per comprendere appieno le minacce e prendere decisioni informate. Il risultato è una condizione di stanchezza e logoramento in cui i team di sicurezza devono affrontare troppi dati, troppi avvisi senza disporre mai di abbastanza tempo o risorse per rispondere adeguatamente.

Mettere l’intelligenza nel SOC

All’interno dei miliardi di dati analizzati nel SOC si nasconde un piccolo numero di indizi in cui un malintenzionato sta cercando di rubare informazioni preziose. Gli approcci tradizionali basati sulla sicurezza non sempre riescono a cogliere comportamenti altamente dinamici e sottili che passano sotto il radar delle regole tradizionali. Per riuscire ad affrontare queste sfide una priorità assoluta è costruire processi ripetibili, automatizzati e dinamici supportati da requisiti di intelligenza.

L’importante ruolo dell’intelligenza artificiale e dell’automazione nel colmare il gap della sicurezza informatica è evidenziato anche nella ricerca “The 2022 Study on Closing the IT Security Gap: Global” realizzata dal Ponemom Institute. I tre principali vantaggi dell’uso di AI e ML sono indagini più efficienti (42% degli intervistati), team di sicurezza più efficaci (38% degli intervistati) e una migliore integrazione con le fonti di intelligence sulle minacce (35% degli intervistati). Inoltre, oltre la metà 52% degli intervistati afferma che Machine Learning e analisi comportamentale sono essenziali per rilevare gli attacchi all’interno prima che facciano danni.

Tutto ciò porta alla constatazione che ciò che serve oggi è un “SOC intelligente” guidato da tecnologie di intelligenza artificiale e Machine Learning non supervisionato, che permetta di prevenire, fronteggiare e ripristinare la normalità nel minor tempo possibile, aumentando in modo significativo l’efficienza e l’efficacia operativa grazie all’accelerazione del rilevamento e della risposta alle minacce reali. Questo SOC di nuova generazione deve poter fornire una consapevolezza olistica della situazione e semplificare i processi end-to-end, mettendo a disposizione anche funzionalità SOAR native completamente integrate.

Inoltre, questo modello di SOC deve guardare più al business che alla tecnologia, nel senso che anche la ricerca sulle minacce dovrebbe essere incentrata sugli attributi rilevanti per l’azienda, come l’esposizione alle perdite annualizzate, il settore, l’impatto, l’attività e le conseguenze della mancata individuazione di una violazione.

“Le tecnologie di AI e Machine Learning possono aumentare drasticamente l’efficienza e migliorare la velocità di rilevamento e risposta alle minacce – spiega Pierpaolo Alì, Director Southern Europe, Russia, CIS, CEE & Israel di CyberRes – perché abilitano un’efficace ricerca delle minacce e permettono di comprendere quali sono le sorgenti da monitorare e il tipo di dati che servono per ottenere un’analisi efficace. A tal fine, le soluzioni ArcSight di CyberRes fanno affidamento sul framework Mitre Att&ck, che mette a disposizione metodologie consolidate e tecniche di difesa estrapolate da casi reali.”

ArcSight per un SOC intelligente allineato alle esigenze di business

Per allineare la sicurezza al business CyberRes mette a disposizione un framework integrato abbinato a una serie di funzionalità per progettare, implementare e far funzionare un SOC su scala globale capace di supportare il business, abilitare la trasformazione digitale e guidare un allineamento strategico tra business, Operation e cyber security

Il portafoglio di soluzioni aperte e integrate CyberRes ArcSight contribuisce a ridurre in modo proattivo l’esposizione e ad aumentare l’efficienza operativa attraverso:

  • una piattaforma SecOps integrata a 360 gradi che semplifica e migliora la contestualizzazione e l’analisi dei dati potendo disporre di un data store comune, di un motore dedicato per l’analisi di big data e di un’interfaccia utente intuitiva per le analisi di sicurezza;
  • un approccio di analytics stratificato che combina molteplici strumenti gestiti attraverso un’unica interfaccia utente, un motore di correlazione di prima classe, analisi comportamentale con il supporto di tecnologie di Machine Learning non supervisionato, threath intelligence, event hunting, SOAR e una stretta integrazione con il framework Mitre&Attacck per rilevare e rispondere rapidamente alle minacce;
  • strumenti di automazione per le attività ripetitive che sfruttano tecnologie di AI e ML per analizzare situazioni sospette.

Una componente tecnologica importante di questo approccio è ArcSight Intelligence, la soluzione di ML non supervisionato che abilita analisi comportamentale degli utenti e delle entità, avvalendosi di centinaia di modelli che analizzano quantità massicce di dati apprendendo continuamente modelli comportamentali normali per ogni utente, ogni macchina, ogni stampante, ogni indirizzo IP, ogni entità all’interno dell’ambiente aziendale.

Grazie ad ArcSight Intelligence, il team del SOC può analizzare più dati, rilevare più minacce, rispondere più rapidamente e liberare tempo prezioso che altrimenti verrebbe impiegato per svolgere attività manuali o per inseguire falsi positivi.

Maggiori Informazioni: https://cloudsecurity.cyberres.com/intelligent-secops/

 

Condividi sui Social Network:

Articoli simili

Cyber attacchi in Italia: un 2022 difficile

Cyber attacchi in Italia: un 2022 difficile

A cura di:Redazione Ore Pubblicato il

Secondo i dati CLUSIT, nel 2021 l’Italia risultava la quarta nazione al mondo per numero di attacchi informatici subiti. E anche quello che sta per concludersi è stato innegabilmente un annus horribilis dal punto di vista della sicurezza informatica; un trend condiviso da moltissimi altri Stati in tutto il globo, ma non per questo meno…

Bug Bounty: cosa sono e perché sono utili

Bug Bounty: cosa sono e perché sono utili

A cura di:Redazione Ore Pubblicato il

Tempi d’oro per i cacciatori di bug: mai come oggi, la velocità imposta dal mercato ai produttori di tecnologie fa sì che molti prodotti vengano rilasciati senza adeguate verifiche, mettendo in circolo vulnerabilità capaci di produrre effetti devastanti. E poiché individuarle per tempo, così da predisporre adeguate patch, rappresenta un’impresa spesso insostenibile per le aziende,…

Come proteggere gli ambienti industriali dalle minacce informatiche

Come proteggere gli ambienti industriali dalle minacce informatiche

A cura di:Redazione Ore Pubblicato il

Fino ad ora il settore industriale ha operato sulla base di sistemi chiusi. Tuttavia, oggi, con la migrazione verso l’Industria 4.0 le macchine, le applicazioni, i PC e le fabbriche sono sempre più connesse a sistemi cloud, utilizzando i big data, l’intelligenza artificiale (AI) e interfacciandosi con i sistemi IT aziendali. Accanto ai vantaggi di…

Offensive Security (OffSec), 7Layers e la difesa attiva attraverso l’Adversary Emulation

Offensive Security (OffSec), 7Layers e la difesa attiva attraverso l’Adversary Emulation

A cura di:Redazione Ore Pubblicato il

Se è vero che l’attacco è la miglior difesa, è altrettanto vero che mettersi nei panni di un potenziale attaccante resta il modo migliore per prevenire e contrastare ogni sua mossa: è proprio questo il principio alla base dell’Offensive Security (anche nota come OffSec). Cos’è l’offensive security? Nata intorno agli anni ‘90 nella galassia dell’Ethical…

Petya o “NotPetya” – Il nuovo cyberattacco manifesto della guerra ibrida

Petya o “NotPetya” – Il nuovo cyberattacco manifesto della guerra ibrida

A cura di:Redazione Ore Pubblicato il

Dopo Wannacry è questo il nuovo attacco Ransomware che mette a dura prova la CyberSecurity mondiale Il virus Petya sembra aver attaccato, in poche ore, più di 2000 utenti, i paesi più colpiti sono statti l’Ucraina: aeroporto di Kiev e Antonov, centrale nucleare di Chernobyl, metropolitana di Kiev, banche e imprese; Copenhagen: trasporti marittimi Moller-Maersk;…

Cybersecurity: la formazione come leva della crescita del Paese – Il Convegno si terrà il 21 luglio a Roma ed è promosso dalla Cyber Security Italy Foundation

Cybersecurity: la formazione come leva della crescita del Paese – Il Convegno si terrà il 21 luglio a Roma ed è promosso dalla Cyber Security Italy Foundation

A cura di:Redazione Ore Pubblicato il

Venerdì 21 luglio, nella suggestiva Sala della Protomoteca in Campidoglio, Roma, avrà luogo un evento di grande importanza: il convegno “Cybersecurity: la formazione come leva della crescita del Paese“. L’iniziativa dalla Cyber Security Italy Foundation – la prima fondazione no profit in Italia sul mondo cibernetico – e patrocinata da Roma Capitale, riunirà illustri rappresentanti delle…