Cancellare le incognite, trasformare il SOC

10 luglio 2022

Vicepresidente della ricerca e della strategia di prodotto

Cancellare le incognite, trasformare il SOC

Le grandi incognite per i team SOC

Nel mio ultimo blog ho introdotto le 9 C del valore della sicurezza informatica. Il mio obiettivo era quello di aiutare i team di sicurezza a tenere il passo con le superfici di attacco e i metodi di attacco in continua evoluzione: noi venditori, partner e, di fatto, tutti gli esseri umani dobbiamo lavorare insieme per far progredire la sicurezza. Un modo importante per farlo è cancellare le incognite...

di superfici di attacco: Estendere la sicurezza oltre la rete del data center e gli endpoint al cloud pubblico, a SaaS e all'identità cloud.
dei moderni metodi di attacco: Possono facilmente aggirare gli strumenti di prevenzione sfruttando servizi e API autorizzati.
di tecnologie e strumenti isolati: Eliminare tutto ciò che non si integra o automatizza per arricchire il contesto, i flussi di lavoro o la risposta.

Una recente ricerca di Vectra ha rilevato che i team di sicurezza faticano a tenere il passo con i cyberattacchi. La mancanza di visibilità, l'assenza di rilevamento degli attacchi moderni e la scarsa integrazione sono stati citati come i 3 principali motivi per cui gli strumenti di sicurezza non sono all'altezza delle loro promesse dal 79% dei responsabili della sicurezza. Il motivo: le grandi incognite.

Il peso delle grandi incognite ricade sulle spalle dei team dei centri operativi di sicurezza (SOC). L'83% dei team di sicurezza si sente in inferiorità numerica rispetto alle minacce moderne. Gli strumenti tradizionali di cui dispongono non sono al passo, come dimostra il 72% dei team di sicurezza che ritiene di essere compromesso ma non lo sa. Visibilità, rilevamento delle minacce, integrazione: sono promesse che i fornitori di sicurezza hanno fatto, ma, secondo i team di sicurezza, molti non riescono a mantenerle.

Qui a Vectra ci piace pensare a monte e scoprire il perché. Abbiamo scoperto che le sfide che i team SOC devono affrontare si riducono a 3 cose:

Copertura: la promessa di garantire applicazioni e dati sicuri ovunque si trovino.
Chiarezza: la promessa di vedere le minacce in luoghi in cui gli altri non riescono a vederle e di fermarle.
Controllo: la promessa di integrare e automatizzare la difesa dagli attacchi dall'inizio alla fine, da cima a fondo.

Copertura

Non ci sono più perimetri e la prevenzione non basta. Oggi si tratta di difesa in profondità, di fiducia ma di verifica. Tutti abbiamo sentito i luoghi comuni. (Ma se eliminiamo i luoghi comuni e le frasi fatte e pensiamo a monte, l'unica e semplice verità è che le superfici di attacco si stanno espandendo.

Le reti dei data center e le superfici di attacco endpoint sono sempre state sotto attacco, ma ora abbiamo AWS, Microsoft Azure, Microsoft 365, GCP, centinaia di applicazioni SaaS e decine di prodotti di identità cloud. Abbiamo chiamate API da un servizio all'altro, che intrecciano tutto in una sinfonia perfetta. Per i team SOC, questa diventa la grande incognita; per un attaccante, è un sogno che diventa realtà. Due terzi di tutti gli attacchi sfruttano servizi e API autorizzati per accedere alle applicazioni e ai dati di un'organizzazione, dando loro chiaramente il sopravvento. Per sradicare le grandi incognite della superficie di attacco, i team SOC hanno bisogno di una visibilità unificata dell'attività delle minacce su tutte e cinque le superfici di attacco, dalle reti dei data center e gli endpoint al cloud pubblico, SaaS e identità. Hanno bisogno di copertura.

Chiarezza

Sono solidale con i leader, gli architetti e gli analisti SOC. Vengono colpiti da tutti i lati e, dato che gli analisti SOC scarseggiano, molti lasciano il loro attuale lavoro in cerca di pascoli più verdi. Gli attaccanti hanno preso il sopravvento. La messa a punto degli strumenti non è il compito dei team SOC. Gli strumenti basati su regole tradizionali, come i SIEM e gli IDS, sono ciechi di fronte agli attacchi moderni ad alta velocità. Quindi, pensare a monte? La risposta per trattenere e far crescere i talenti SOC e ribaltare la situazione rispetto agli aggressori è cancellare l'incognita dei moderni metodi di attacco. Si comincia con il ripensare il flusso di lavoro del SOC. Oggi si sente spesso dire: "pompiamo tutto nel nostro SIEM", e lo capiamo. Il SIEM è un "unico vetro" (un altro luogo comune sulla sicurezza). Ma come può la sicurezza creare una regola per un metodo di attacco che non è stato identificato? Ancora peggio, una volta che un metodo di attacco diventa noto, modificare costantemente le regole SIEM e le firme IDS è un metodo estenuante, inefficiente e inefficace per affrontare gli aggressori moderni.

L'applicazione di approcci tradizionali ai moderni metodi di attacco crea latenza nel flusso di lavoro del SOC e nel processo di risposta agli incidenti. L'ultima cosa di cui abbiamo bisogno quando si tratta di rilevare e rispondere agli attacchi moderni è la latenza. Perché dare più tempo agli aggressori? No, il miglior rimedio alla latenza è il contesto, che deriva dalla copertura. Senza una copertura completa, ai team SOC manca sempre il contesto. Immettere più dati in un SIEM non equivale a una copertura. La costante messa a punto della tecnologia non fornisce un contesto. Per eliminare le incognite sul metodo di attacco è necessario eliminare la latenza dal flusso di lavoro del SOC. A tal fine, i team SOC hanno bisogno di una tecnologia che acquisisca, analizzi e integri il contesto da tutte e cinque le superfici di attacco in modo rapido e su scala. Armarsi di un ricco contesto sui metodi di attacco riduce drasticamente la latenza dei flussi di lavoro SOC. Elimina il triage degli avvisi, integra e automatizza la prioritizzazione, i processi di indagine e risposta e i playbook. I team SOC possono quindi operare con ciò di cui hanno veramente bisogno per eliminare le incognite sui metodi di attacco: maggiore chiarezza.

Controllo

Quando una superficie di attacco in continua espansione incontra metodi di attacco in continua evoluzione, insieme alla carenza di personale e di competenze, non c'è da stupirsi che l'83% dei team di sicurezza si senta in inferiorità numerica e che il 72% pensi di essere compromesso ma non lo sappia veramente. Nonostante i crescenti investimenti in tecnologia e strumenti, i team SOC faticano ancora a realizzare il valore dei loro investimenti, soprattutto perché gli strumenti spesso non funzionano insieme come promesso. Quando la tecnologia e gli strumenti sono isolati, il SOC ne risente. Quando i team SOC passano da uno strumento all'altro per identificare e combattere gli attacchi moderni, danno effettivamente il sopravvento agli aggressori. I team SOC hanno bisogno di tecnologie e strumenti integrati e di lavorare insieme per anticipare gli attacchi. Devono riprendere il controllo.

Tutti insieme ora

Grazie alla copertura completa della superficie di attacco, i team di sicurezza ottengono il contesto necessario per ottenere chiarezza e quindi controllo. La copertura fornisce la telemetria raccolta su tutte e cinque le superfici di attacco: reti (NDR), endpoint (EDR), cloud pubblico (AWS, Microsoft Azure, GCP, ecc.), SaaS (Microsoft 365) e identità (Microsoft Azure AD). La chiarezza deriva dall'analisi di tale telemetria e dall'individuazione e dall'avviso delle minacce veramente importanti. Il vero controllo si realizza quando tutto è stato integrato e tutto lavora insieme per automatizzare l'arricchimento del contesto, il flusso di lavoro e la risposta. Il risultato: Eliminare le incognite e costruire un SOC più efficace, efficiente e resiliente.

Cancellare l'ignoto con la piattaforma Vectra basata sull'intelligenza artificiale per la sicurezza

Vectra è leader nel rilevamento e nella risposta alle minacce basati sull'intelligenza artificiale. Solo Vectra ottimizza l'IA per la sicurezza per aiutare i leader SOC, gli architetti e gli analisti a cancellare l'ignoto. Creiamo il segnale che vede gli attacchi dove gli altri non possono.

ConVectra, la copertura è assicurata. Ottenete visibilità degli attacchi con un contesto su tutte e cinque le superfici di attacco: cloud pubblico, SaaS, identità, rete ed endpoint.
‍ConVectra, la chiarezza è assicurata. Riducete il rumore degli avvisi di oltre l'80%, individuando i metodi di attacco e dando priorità alle minacce più importanti per l'azienda.
ConVectra avete il controllo. Integratevi con lo stack esistente per ottenere contesto, flusso di lavoro e controlli per bloccare le minacce con meno lavoro, meno strumenti e meno tempo.

Per ulteriori informazioni sulla piattaforma Vectra, visitate la pagina della piattaforma.‍

Volete saperne di più?

Vectra® è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidati dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci