Come far fronte alle sfide che si presentano?
Per far fronte alle sfide che nascono dall'incremento del rischio e dal personale addetto alla sicurezza ridotto all'osso, le aziende devono adottare una strategia di protezione, detection e response automatizzate. Anche quando si ha a disposizione uno staff completo di professionisti della sicurezza informatica preparati, le minacce sono diventate così sofisticate e il tempo di esecuzione di un attacco è diventato così breve, che l'intervento umano non è più una strategia di sicurezza praticabile.
Una protezione automatizzata avanzata contro le minacce
Automatizzando l'Advanced Threat Protection, le aziende possono ora avere a portata di mano informazioni in tempo reale relative alla threat intelligence, che possono aiutare a identificare le minacce, combinate con una response intelligente in grado di fermarle in tempo reale. La ricerca proattiva delle minacce e la correlazione automatizzata degli eventi possono impedire ai cybercriminali di sfruttare nuove vie di attacco. Per esempio, le soluzioni di machine learning possono catturare IOC (indicators of compromise) come indirizzi IP, domini e URL dannosi. E combinando il machine learning con le funzionalità di IA, questi sistemi possono esaminare continuamente nuovi file, siti web e infrastrutture di rete. Questo consente loro di identificare i componenti malevoli, oltre a generare in maniera dinamica una nuova threat intelligence che possa consentire alle aziende di prevedere e prevenire anche le future minacce informatiche.
Le security operations AI-driven sono anche in grado di scalare ben oltre i limiti dei security analysts, consentendo alle aziende di avere visibilità e proteggere dati e applicazioni critiche su migliaia o milioni di utenti, sistemi, dispositivi. Questo aspetto riduce il lavoro di studio delle caratteristiche del malware svolto dagli analisti SOC per identificarle e classificarle in categorie specifiche. Allo stesso tempo, la response potenziata dall'IA può fornire il rapido rilevamento, la classificazione e la ricerca delle minacce più sofisticate. Ciò riduce il tempo necessario per identificare i punti di compromesso iniziali e i sistemi successivamente infettati in frazioni di secondo.
L'importanza della rilevazione e correlazione degli eventi
A causa dell'aumento degli attacchi avanzati, le minacce possono, al giorno d'oggi, avanzare in pochi secondi e, di conseguenza, le reti necessitano di capacità di rilevamento avanzate. Ciò richiede la costruzione di un'architettura di sicurezza che consenta l'analisi unificata dei dati raccolti da diverse fonti d'informazione, compresi i log, le metriche riguardo alle performance, gli avvisi relativi alla sicurezza e le modifiche di configurazione.
Per la maggior parte delle aziende, tutto questo richiede capacità SIEM (security information and event management) , combinate con un motore di correlazione degli eventi distribuito per consentire il rilevamento di schemi di eventi complessi, in modo tale da abilitare una risposta in tempo reale. Le aziende più grandi, dotate di operations center dedicati al network e alla sicurezza, devono integrare le loro analisi NOC/SOC per determinare rapidamente se un problema sia dovuto alle performance o alla sicurezza, in modo da poter adottare contromisure appropriate.
I sistemi automatizzati consentono anche di dare priorità ad asset ed eventi, permettendo ai team di identificare rapidamente i problemi più critici che necessitano di un'analisi immediata. Sfruttare il machine learning dà ai team che si occupano di sicurezza la possibilità di rilevare comportamenti inusuali degli utenti senza richiedere agli amministratori di sistema di scrivere regole complesse. Le funzionalità EDR aggiunte ai dispositivi remoti consentono ai sistemi di sicurezza di rilevare e disinnescare le minacce in tempo reale, proteggendo automaticamente l'endpoint e prevenendo così una potenziale violazione.
Orchestrazione e response integrati incrementano la visibilitÃ
Per stare al passo con le minacce emergenti, le imprese in media impiegano 47 diverse soluzioni e tecnologie di sicurezza. Tutti questi strumenti presi separatamente, soprattutto quando dispongono di console di gestione individuali e operano principalmente in modo isolato, rendono difficile la correlazione degli eventi e l'esecuzione di una risposta coerente e coordinata alle minacce.
Le nuove tecnologie di security orchestration, automation e response (SOAR) permettono a questi componenti separati tra loro di comunicare e lavorare insieme attuando un coordinamento difensivo per incrementare la visibilità . Le soluzioni SOAR funzionano ancora meglio quando è possibile sfruttare playbook ben definiti per semplificare l'orchestrazione e il management. Questi playbook, che possono essere continuamente perfezionati attraverso componenti di machine learning e IA, sostituiscono i lunghi flussi di lavoro manuali con risposte automatiche. Per esempio, mettendo automaticamente offline un host nel momento in cui viene rilevato un comportamento dannoso.
Affrontare le sfide comporta indubbi vantaggi
Automatizzare pratiche e processi di scarsa qualità o insufficienti può in realtà peggiorare le cose. Passare a un processo automatizzato può, inoltre, esporre i timori relativi all'automazione che possono esistere all'interno di un'azienda. Spesso si pensa infatti che, eliminando l'elemento umano da un determinato processo, un'azione automatizzata potrebbe fare qualcosa di sbagliato che sarà poi difficile da annullare.
Fortunatamente, questi problemi possono essere risolti. Quello che stiamo vivendo può essere un buon momento per una verifica delle pratiche di sicurezza interna per assicurarsi che non si stia aggravando un problema di automazione. Possono essere inoltre messi in atto sistemi a prova di guasto, come per esempio quelli che prevedono di operare in una modalità iniziale di solo monitoraggio per convalidare le risposte, prima di passare a un sistema completamente automatizzato.
Naturalmente, i benefici superano di gran lunga i potenziali rischi. L'aggiunta dell'automazione alla strategia di sicurezza aumenta significativamente le possibilità di individuare una violazione o attività dannose, assicura risposte efficaci e tempestive e riduce al minimo i potenziali tempi di inattività dovuti alle violazioni. Inoltre, consente alle risorse umane di lavorare su attività più impegnative (per esempio, permettendo alle persone di essere più produttive), mentre l'automazione delle attività manuali riduce le possibilità di un errore umano. Aiuta inoltre a garantire che si continuino a soddisfare i requisiti di conformità durante i periodi in cui avvengono cambiamenti insoliti. Date le sfide imposte dal ritmo frenetico della trasformazione e dell'innovazione dell'era moderna, questi sono vantaggi assolutamente da sfruttare.
Se l'articolo ti è piaciuto, condividilo con gli amici e colleghi