Uno dei modi in cui collaboriamo con la nostra comunità di partner è quello di fornire servizi gestiti agli utenti finali. E come accade in quasi tutti gli scenari di implementazione, ogni ambiente ha le sue configurazioni, i suoi requisiti e talvolta anche le sue sfide. Tenendo conto di ciò, abbiamo pensato di illustrare alcune delle sfide più comuni in cui ci siamo imbattuti, nel tentativo di aiutarvi nel vostro percorso.
Ma prima di tutto, diamo un'occhiata all'elenco di sfide che segue. Qualcuno di questi problemi è presente oggi nel vostro Security Operations Center (SOC)?
- Elevato costo di proprietà: questo comporta il costo della creazione di casi d'uso per il Security Information and Event Management (SIEM) e il mantenimento del personale nei ruoli di analista di livello 1 e 2, con continue riassunzioni e formazione che portano ad un aumento dei costi.
- Inefficienze di sicurezza: difficoltà a ottenere una copertura del 100% dei log e dei casi d'uso a causa dei costi di log-ingestion, delle sfide tecniche e operative o della limitata capacità di eseguire analisi forensi della progressione di un incidente.
- Stanchezza da allerta: i log o i sistemi tradizionali basati sulle firme generano troppi allarmi, troppi falsi positivi o entrambi, e/o difficoltà a scoprire e comprendere il contesto degli allarmi.
Se avete risposto sì a una qualsiasi delle sfide, siete nel posto giusto.
Il SOC 1.0
Il SOC 1.0, o SOC SIEM, è stata la prima evoluzione nella creazione di una capacità di monitoraggio della sicurezza in un'organizzazione. L'idea del SOC 1.0 è semplicemente quella di raccogliere tutti i log dai firewall, dai proxy, dai server di autenticazione, dalle applicazioni e dalle workstation, in pratica da tutto ciò che lo consente. Una volta fatto ciò, li si aggrega in una piattaforma SIEM, dove i dati possono essere facilmente interrogati e correlati, nonché ingerire ulteriori indicatori di compromissione (IoC) o informazioni sulle minacce che possono essere confrontate con i dati di log.
A questo punto inizia il divertimento e si comincia a costruire query o casi d'uso per individuare azioni dannose o rischiose all'interno di tutti i dati. In genere, si inizia a pensare a come creare avvisi quando vengono superati determinati eventi, combinazioni di eventi o soglie, in modo che gli analisti siano in grado di rispondere agli avvisi e di utilizzare il SIEM insieme ad altri strumenti e risorse per indagare sugli eventi. Idealmente, questo sistema sarebbe impostato in modo silo, il che significa che gli analisti devono passare da una console all'altra, da uno strumento all'altro per cercare di triangolare manualmente gli avvisi e capire cosa sta succedendo. In generale, questo approccio ha molti meriti e oggi è considerato lo standard de facto e la capacità fondamentale di molti SOC, sia per le grandi che per le piccole organizzazioni.
Lo scenario comune in molti ambienti SOC 1.0 comprende:
- Non sono disponibili registri adeguati
- I registri non contengono dati sufficienti per eseguire un rilevamento adeguato delle minacce.
- È costoso costruire e mantenere i casi d'uso o le regole per il rilevamento.
- Il costo dell'archiviazione dei log in un SIEM sta diventando un problema importante per i clienti.
- L'approccio basato sulle regole di interrogazione e sull'analisi statistica non è abbastanza potente per individuare gli aggressori furtivi.
- Il SOC viene sovraccaricato di avvisi, la maggior parte dei quali sono rilevamenti falsi positivi.
- Gli analisti del SOC hanno difficoltà a ottenere informazioni sufficienti sul contesto dell'allarme e il triaging dell'allarme richiede molto lavoro manuale per le indagini.
Di conseguenza, c'è un gran numero di offerte di lavoro per analisti informatici, sviluppatori e incident responders a causa dell'elevato volume di lavoro nei SOC e del fatto che il lavoro stesso nel SOC 1.0 è talvolta banale e poco gratificante, il che comporta un'elevata rotazione delle risorse. I costi di gestione di un SOC 1.0 aumentano progressivamente, mentre la superficie di attacco da cui occorre proteggersi cresce costantemente nella realtà post COVID-19. Allo stesso tempo, la criminalità informatica è in aumento, gli aggressori stanno diventando più sofisticati, gli attacchi sono molto specifici, furtivi e personalizzati per l'organizzazione bersaglio.
Introduzione al SOC 2.0
A causa delle sfide poste dall'approccio SOC 1.0, molte organizzazioni stanno trasformando le loro operazioni SOC in SOC 2.0. L'approccio SOC 2.0 è più economico da gestire, meno dipendente da un gran numero di persone, rileva gli attacchi più rapidamente, introduce l'automazione insieme a nuove tecniche analitiche ed è pronto per la battaglia contro attacchi mai visti prima.
I cambiamenti principali nella trasformazione delle operazioni del SOC sono evidenziati qui:

Questo significa che il SIEM sta diventando obsoleto? No, il SIEM e l'analisi dei log sono ancora un elemento chiave. Il passaggio al SOC 2.0 utilizza il SIEM per ciò per cui è più adatto: rilevare rischi noti che possono essere facilmente articolati in regole di interrogazione. Un esempio potrebbe essere quello dei viaggi impossibili, in cui si cerca di confrontare la distanza geografica tra i luoghi di accesso in un arco di tempo. Questo è uno scenario in cui è possibile creare facilmente un caso d'uso e i log del server di autenticazione sono facilmente disponibili. Nel SOC 2.0, il SIEM sta assumendo il ruolo di un unico punto di osservazione alimentato da rilevamenti pre-analizzati provenienti da fonti di rilevamento e risposta endpoint (EDR), rilevamento e risposta delle reti (NDR) e analisi del comportamento di utenti ed entità (UEBA).
Per gli obiettivi di rilevamento, in cui la copertura dei registri è chiaramente assente e più legata al riconoscimento di modelli sfumati nel comportamento degli utenti e delle applicazioni, SOC 2.0 sfrutta l'apprendimento automatico insieme ai dati di rete e dei punti finali. Immaginate di cercare di creare un programma o una regola software tradizionale per distinguere e ordinare le immagini. Questo non è realmente fattibile, tuttavia, con un modello di apprendimento automatico di base, il riconoscimento dei pattern diventa un'attività banale. Lo stesso vale per l'analisi dei modelli di attacco nella rete, nel cloud, nel SaaS o nelle applicazioni. I modelli di Machine Learning possono essere addestrati per distinguere i modelli dannosi dalle applicazioni e dal traffico di rete benigni. Il bello dell'apprendimento automatico è che una volta creato il modello, l'algoritmo si addestra da solo per iniziare a svolgere il lavoro di rilevamento: ciò significa che le soluzioni di apprendimento automatico richiedono poca o nessuna messa a punto e personalizzazione per iniziare a svolgere le attività.
Con SOC 2.0, gli algoritmi di intelligenza artificiale arricchiscono il contesto dei rilevamenti, correlandoli e assegnando un punteggio. Il ruolo dell'analista SOC viene elevato per lavorare sugli incidenti prioritari, dove può applicare rapidamente le conoscenze e l'esperienza, nonché le competenze forensi per costruire una timeline e un caso per il triage di specifici comportamenti notati, fornendo al contempo indicazioni al team di risposta per agire. Tutto ciò consente all'organizzazione di ripensare a cosa ingerire, dal momento che tutti i rilevamenti non sono basati sui log. Inoltre, le soluzioni EDR e NDR forniranno al SIEM i rilevamenti degli avvisi prioritari, anziché solo i dati grezzi.
Il SOC 2.0 non si affida più ai sistemi IDS: i dati informativi sulle minacce (IP, domini) vengono analizzati nella soluzione NDR. I firewall applicano le regole in volo. L'antivirus e la protezione della posta elettronica si occupano di applicare le firme ai file e ai payload. Gli aggressori tendono a criptare i dati in transito, quindi l'applicazione delle firme al traffico di rete ha sempre meno senso. Infine, con l'applicazione dell'automazione alla risposta agli incidenti e quando il rilevamento di una minaccia viene ritenuto vero e serio, automaticamente o manualmente, le piattaforme di orchestrazione, automazione e risposta della sicurezza (SOAR) possono intervenire per eseguire le azioni necessarie a fermare la progressione degli attacchi in base alle regole stabilite.
Guardare al futuro
Sebbene il SOC 1.0 sia ancora la norma in molte organizzazioni, sempre più organizzazioni stanno adottando l'approccio SOC 2.0. Vectra svolge un ruolo chiave nella triade della visibilità SOC, poiché i dati provenienti dalla nuova rete composta da servizi IaaS, SaaS e on-premise non mentono. L'apprendimento automatico e l'intelligenza artificiale migliorano notevolmente il livello di automazione e accelerano la capacità dell'organizzazione di bloccare gli attacchi prima che diventino violazioni.
Scoprite come Vectra può aiutarvi a migliorare la visibilità del vostro SOC o iniziate programmando una demo.