La sicurezza informatica è compromessa.
Più precisamente, il rilevamento e la risposta agli attacchi ibridi " " stanno fallendo. Secondo un rapporto IBM del 2022, l'83% delle organizzazioni subisce più violazioni ogni anno. È chiaro che occorre urgentemente un nuovo approccio. Tuttavia, contrariamente alla tendenza attuale, aggiungere ulteriori strumenti che generano più avvisi non è la soluzione. (Fonte: IBM Security Cost of a Data Breach Report 2022.)
Sommersi da una valanga di avvisi
Nel rapporto 2023 di Vectra sullo stato del rilevamento delle minacce, gli analisti SOC misurano solitamente l'efficacia di uno strumento in base alla sua capacità di segnalare un evento di minaccia e attivare un allarme.
Ma come settore, è questo lo standard a cui vogliamo attenerci quando i team SOC sono sommersi da quasi 4.500 avvisi provenienti da numerosi strumenti ogni singolo giorno?
Chi ha il tempo o il personale necessario per gestire un volume di allarmi così assurdo?
Nessuno.
Sì, il compito del team SOC è proteggere l'ambiente IT ibrido, ma sommergere gli analisti con migliaia di avvisi che non sono in grado di gestire NON è il modo giusto per adempiere a tale mandato.
Gli analisti SOC non hanno fiducia nei propri strumenti
Nello stesso rapporto, il 97% degli analisti teme di perdersi un evento che passa inosservato tra i due terzi degli avvisi di sicurezza che non avranno mai il tempo di esaminare in una giornata tipo.
Questa crisi di fiducia non solo è inaccettabile, ma anche insostenibile. Come può un team SOC svolgere il proprio lavoro con volumi così elevati di segnali, avvisi e falsi positivi?
È una ricetta per il disastro sia per gli analisti SOC che per le imprese ibride che stanno cercando di proteggere.
Gli analisti SOC in via di estinzione
E, a proposito, "disastro" non è un'iperbole. Come sottolineato in un post precedente, il 67% degli analisti SOC sta valutando di lasciare il settore o lo sta già lasciando, il che spiega il persistente deficit globale di 3,4 milioni di lavoratori altamente qualificati nel campo della sicurezza.
Tali livelli di abbandono e carenza di analisti sono attribuibili a un carico di lavoro quotidiano gravato da stress e frustrazione.
Ma ciò riflette anche una crisi di fiducia degli analisti della sicurezza riguardo all'intero paradigma della sicurezza informatica. Se non ridefiniamo il modo in cui misuriamo l'efficacia degli strumenti di sicurezza, l'integrità del vostro ambiente IT continuerà a deteriorarsi con l'aumento del volume degli avvisi e l'abbandono in massa del settore da parte degli analisti.
È arrivato un approccio più intelligente
La nostra ricerca suggerisce che il vostro team SOC può migliorare la situazione evitando strumenti che ostacolano l'analisi e aumentano il carico di lavoro. Inoltre, rimane la necessità di trovare un modo per valutare l'uso degli strumenti in termini di visibilità delle minacce, accuratezza del rilevamento ed efficacia degli analisti.
Un primo passo intelligente sarebbe quello di cambiare il modo in cui gli analisti misurano l'efficacia. Attualmente, la maggior parte misura la maturità SOC attraverso fattori quali la riduzione dei tempi di inattività (65%), il tempo necessario per rilevare, indagare e rispondere (61%), le violazioni prevenute (61%) e il numero di ticket gestiti (60%).
Ma tali parametri sono davvero utili o addirittura rilevanti se gli attacchi e le violazioni invisibili continuano a essere la norma?
Concentrati su ciò che puoi controllare
Come settore, continuare sulla stessa strada della proliferazione degli strumenti e dei fallimenti non è la strada da seguire; significa solo alimentare la stessa spirale che ci ha portato in questa situazione difficile.
Un secondo passo verso il successo è concentrarsi su ciò che è possibile controllare, non su ciò che non lo è. Ad esempio, non è possibile controllare la superficie di attacco della propria organizzazione. Continuerà a crescere e a cambiare con gli investimenti digitali. Né è possibile controllare quando, dove o come gli aggressori tenteranno di violare le difese.
Ma è possibile controllare il segnale e le sfide legate al burnout che ogni giorno influenzano gli analisti SOC.
Come si possono raggiungere questi obiettivi fondamentali?
I vantaggi impareggiabili della chiarezza del segnale
Si inizia ridefinendo cosa sia una sicurezza efficace e cosa non lo sia. Rilevare migliaia di possibili minacce non serve a nulla se non si è in grado di distinguere quelle urgenti da quelle innocue.
Ma identificare rapidamente e dare priorità agli attacchi attraverso un segnale integrato che fornisce chiarezza sugli attacchi più urgenti su tutta la superficie di attacco?
Questo cambia completamente le carte in tavola.
I vantaggi di una tale chiarezza del segnale sono innegabili. Più efficace è il segnale di attacco, più il SOC diventa resiliente, efficiente ed efficace dal punto di vista informatico e migliore sarà la difesa dell'organizzazione. Inoltre, il miglioramento dei tassi di successo contribuirà ad arginare il flusso di analisti dal settore.
Per ottenere chiarezza dei segnali occorre innanzitutto disporre degli strumenti adeguati nel proprio stack tecnologico. Riteniamo che i fornitori di soluzioni di sicurezza debbano essere ritenuti responsabili dell'efficacia dei loro segnali, non solo del volume di avvisi che generano. Dovrebbero inoltre essere ritenuti responsabili della mancanza di visibilità della superficie di attacco dei loro strumenti, dell'accuratezza del rilevamento e dell'impatto negativo che tali carenze hanno sulla produttività degli analisti.
Nel frattempo, per saperne di più su Vectra e sulla chiarezza del segnale integrato, vieni a trovarci e scoprirai un percorso chiaro da seguire.