La cybersecurity è rotta.
Più precisamente, il rilevamento e la risposta agli attacchi ibridi di stanno fallendo. Secondo un rapporto IBM del 2022, l'83% delle organizzazioni subisce violazioni multiple ogni anno. È evidente che è necessario un nuovo approccio. Ma contrariamente alla tendenza attuale, aggiungere altri strumenti che generano più avvisi non è la risposta. (Fonte: IBM Security Cost of a Data Breach Report 2022).
Annegare in un diluvio di avvisi
Secondo il rapporto 2023 State of Threat Detection di Vectra, gli analisti SOC in genere misurano l'efficacia di uno strumento in base alla capacità di segnalare un evento di minaccia e di attivare un allarme.
Ma come settore, è questo lo standard a cui vogliamo attenerci quando i team SOC sono sommersi da quasi 4.500 avvisi provenienti da numerosi strumenti ogni singolo giorno?
Chi ha il tempo o il team per gestire un volume di segnalazioni così ridicolo?
Nessuno.
È vero che il compito del team SOC è quello di proteggere l'ambiente IT ibrido, ma affogare gli analisti in migliaia di avvisi che non sono in grado di gestire NON è il modo per adempiere a questo mandato.
Gli analisti SOC non hanno fiducia nei loro strumenti
Nello stesso rapporto, il 97% degli analisti teme di perdere un evento che passa inosservato attraverso due terzi degli avvisi di sicurezza che non hanno mai il tempo di esaminare in un determinato giorno.
Questa crisi di fiducia non solo è inaccettabile, ma è anche insostenibile. Come può un team SOC svolgere il proprio lavoro con volumi così elevati di segnali, allarmi e falsi positivi?
Si tratta di una formula di disastro sia per gli analisti SOC che per le imprese ibride che cercano di proteggere.
La scomparsa degli analisti SOC
E comunque, "disastro" non è un'iperbole. Come già osservato in un precedente post, il 67% degli analisti SOC sta pensando di abbandonare o sta attivamente abbandonando il settore, il che spiega il persistente deficit globale di 3,4 milioni di lavoratori altamente qualificati nel campo della sicurezza.
Questi livelli di abbandono e di deficit di analisti sono attribuiti a un carico di lavoro quotidiano carico di stress e frustrazione.
Ma parla anche di una crisi di fiducia degli analisti di sicurezza nei confronti dell'intero paradigma della cybersecurity. Se non ridefiniamo il modo in cui misuriamo l'efficacia degli strumenti di sicurezza, l'integrità dell'ambiente IT continuerà a deteriorarsi con l'aumento del volume degli allarmi e l'abbandono in massa del settore da parte degli analisti.
È arrivato un approccio più intelligente
La nostra ricerca suggerisce che il team SOC può migliorare la situazione evitando strumenti che ostacolano l'analisi e aumentano il carico di lavoro. Inoltre, rimane la necessità di trovare un modo per valutare l'uso degli strumenti per la visibilità delle minacce, l'accuratezza del rilevamento e l'efficacia degli analisti.
Un primo passo intelligente sarebbe quello di cambiare il modo in cui gli analisti misurano l'efficacia. Attualmente, la maggior parte misura la maturità del SOC in base a fattori quali la riduzione dei tempi di inattività (65%), il tempo di rilevamento, indagine e risposta (61%), le violazioni evitate (61%) e il numero di ticket gestiti (60%).
Ma queste metriche sono davvero utili o addirittura rilevanti se gli attacchi e le violazioni invisibili continuano a essere la norma?
Concentratevi su ciò che potete controllare
Come industria, continuare a percorrere la stessa strada di proliferazione e fallimento degli strumenti non è la strada da seguire, ma solo alimentare la stessa spirale di altri che ci ha messo in questa situazione.
Un secondo passo verso il successo consiste nel concentrarsi su ciò che si può controllare e non su ciò che non si può controllare. Ad esempio, non potete controllare la superficie di attacco della vostra organizzazione. Continuerà a crescere e a cambiare con gli investimenti digitali. Né potete controllare quando, dove e come gli aggressori cercheranno di violare le vostre difese.
Ma potete controllare il segnale e le sfide del burnout che colpiscono ogni giorno i vostri analisti SOC.
Come si possono raggiungere questi obiettivi chiave?
I vantaggi impareggiabili della chiarezza del segnale
Iniziate a ridefinire cosa sia e cosa non sia una sicurezza efficace. Rilevare migliaia di possibili minacce non serve a nulla se non si riesce a distinguere quelle urgenti da quelle benigne.
Ma identificare rapidamente e dare priorità agli attacchi attraverso un segnale integrato che fornisca chiarezza sugli attacchi più urgenti nell'intera superficie di attacco?
Questo cambia le carte in tavola.
I vantaggi di una tale chiarezza del segnale sono innegabili. Quanto più efficace è il segnale di attacco, tanto più il SOC diventa cyber-resistente, efficiente ed efficace e tanto meglio si può difendere l'organizzazione. Inoltre, il miglioramento dei tassi di successo contribuirà ad arginare il flusso di analisti dal settore.
La chiarezza del segnale inizia dagli strumenti del vostro stack tecnologico. Riteniamo che i fornitori di sicurezza debbano essere ritenuti responsabili dell'efficacia del loro segnale, non solo del volume di allarmi che generano. Dovrebbero anche essere ritenuti responsabili della mancanza di visibilità della superficie di attacco, dell'accuratezza del rilevamento e dell'impatto negativo che questi fallimenti hanno sulla produttività degli analisti.
Nel frattempo, per saperne di più su Vectra e sulla chiarezza del segnale integrato, venite a trovarci e scoprirete un percorso chiaro per il futuro.