Trasformare i Security Operation Center in Cyber Fusion Center

Redazione RHC : 12 Marzo 2024 14:31

Autore: Aldo Di Mattia, Senior Manager Systems Engineering Public Administration Italy di Fortinet

L’ampia diffusione degli ambienti cloud e ibridi, unita alla graduale scomparsa del classico perimetro di sicurezza che ha ampliato notevolmente la superficie suscettibile agli attacchi, ha generato un panorama delle minacce più complesso ed esteso. Gli analisti di sicurezza faticano a tenere il passo, mentre le aziende stanno affrontando sfide legate alla crescente carenza di personale qualificato.

In questo scenario, il tempo richiesto per individuare potenziali incidenti di sicurezza ha registrato un aumento significativo, mettendo a dura prova l’efficacia dell’ecosistema dei Security Operation Center (SOC). Anche i dati degli ultimi due anni riflettono questa tendenza, evidenziando che gli analisti di sicurezza stanno dedicando più della metà del loro tempo all’indagine di incidenti che spesso si rivelano falsi positivi o, al massimo, eventi a bassa priorità.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Inoltre, l’approccio attuale delle Security Operations (SecOps) non sempre riesce a fornire il supporto adeguato agli analisti: vi è una costante inclinazione a concentrarsi sulla tecnologia a scapito dell’elemento umano nella cybersecurity. Questo paradigma ha portato alla creazione di SOC composti da numerosi strumenti, spesso non integrati che, nella pratica, rappresentano “silos” estremamente onerosi da gestire, sia in termini di tempo che di risorse.

Per affrontare le sfide attuali, è essenziale individuare e capire le cause sottostanti. I dati mostrano che, attualmente, i SOC stanno affrontando problemi legati alla scarsa visibilità, che crea inevitabilmente punti ciechi che diventano il bersaglio primario degli attaccanti; vi è poi il fatto che la maggior parte delle aziende utilizza soluzioni diverse (secondo le stime, almeno 10) e non integrate tra loro, al servizio del proprio SOC team.

Importante anche rilevare come le organizzazioni fatichino a tenere il passo con gli attaccanti, basando ancora il ciclo di vita del proprio SOC su metodi di rilevamento manuali, spesso obsoleti ed inefficienti; e l’esponenziale sovraccarico di informazioni, che rende difficile per gli analisti affrontare manualmente i numerosi avvisi per ogni singola rilevazione. Questi fattori sono complicati ulteriormente dall’elevato turn-over che affligge il comparto, con conseguente mancanza di risorse umane qualificate, e dalla potenziale perdita di focus a causa della diversità e quantità di alert ricevuti.

Stante questo quadro, secondo Fortinet l’evoluzione del SOC dovrebbe concentrarsi su tre principali aree operative. In primo luogo, il consolidamento dei flussi di lavoro implica unificare gli strumenti a disposizione del SOC e integrare diverse tecnologie per correlare eventi da fonti diverse, creando un contesto che acceleri il lavoro degli analisti.

La riduzione dei vendor e l’utilizzo di strumenti connessi nativamente sono suggeriti come approcci evolutivi comuni. In secondo luogo, l’adozione di Machine Learning (ML) e Intelligenza Artificiale (AI) migliora l’efficacia del SOC riducendo le attività manuali e ripetitive, per consentire un’analisi più veloce degli incidenti. Infine, l’utilizzo di framework di mercato e fonti esterne di threat intelligence, come le Sigma Rules, semplifica l’implementazione dei processi di detection e automation, mentre le informazioni in tempo reale sulle minacce provenienti da fonti esterne arricchiscono la comprensione globale del contesto delle minacce.

L’utilizzo di un approccio unificato per il proprio SOC rende molto più efficiente il lavoro degli analisti, contribuendo a ridurre significativamente i tempi di indagine e di risposta. Un SOC “unificato” o Cyber Fusion Center (CFC), si basa su automazione, orchestrazione e integrazione delle informazioni interne (CyberSec, IT, OT, NOC).

Naturalmente, il Security Information and Event Management (SIEM), pur essendo un elemento chiave di ogni SOC, non è in grado di sopperire a tutte le funzioni proprie di un CFC. Al SIEM, infatti, dovrebbero essere integrate altre tecnologie a supporto, tra le quali la SOAR (Security Orchestration Automation and Response), i sistemi di Deception, le fonti di threat intelligence e gli strumenti di nuova generazione specifici per il contesto, come endpoint (EDR/XDR) e rete (NDR). Ridurre al minimo i falsi positivi fornendo allo stesso tempo un contesto sufficiente per le indagini è fondamentale per ottenere risultati concreti ed evidenti.

Realizzare un SOC, o trasformarlo in un CFC, rappresenta sicuramente un investimento importante, molto spesso fuori dalla portata di realtà di dimensioni più piccole, ma non meno vulnerabili. In tal caso, servizi gestiti di cybersecurity come il “SOC as a Service”, i servizi di Incident Response e i servizi di Analisi di sicurezza (Exposed Surface Recon) possono essere la soluzione giusta, in termini di investimento e mitigazione del rischio.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli