Con l'avanzare della digitalizzazione, i team SOC delle imprese ibride scoprono che ciò comporta alti rischi ma anche alte ricompense.
La digitalizzazione migliora l'efficienza operativa, i margini e può persino contribuire alla crescita della quota di mercato. Ma significa anche una superficie di attacco più ampia e maggiori rischi di minacce, alla base di quella che chiamiamo la "spirale del di più".
Tuttavia, le imprese devono digitalizzarsi o scomparire, quindi è utile una rapida analisi di alcune sfide chiave.
Una superficie di minacce in rapida espansione
La digitalizzazione aggiunge livelli all'architettura e ai processi aziendali, creando una superficie di attacco molto più complessa e in rapida espansione, più difficile da difendere. Invita a un maggior numero di attacchi, segnali e rumori, per cui le minacce spesso rimangono invisibili in una marea di avvisi.
Ecco perché la protezione dell'ambiente IT dinamico è molto più difficile di quanto non fosse nel 2021.
Se vi sembra di essere soli in questa battaglia in salita, non lo siete. In un recente sondaggio, il 63% dei team SOC di aziende ibride ha dichiarato che la superficie di attacco si è ampliata "significativamente" negli ultimi due anni.
Il Big Bang della proliferazione degli strumenti
Se la crescente superficie di attacco e la proliferazione di minacce invisibili non bastano a mettere alla prova le capacità del vostro team, l'esplosione di nuovi strumenti può certamente spingere i vostri analisti oltre la loro larghezza di banda.
Certo, i venditori promettono che aggiungere altri strumenti al vostro arsenale è la risposta. Ma spesso gli strumenti sono isolati e non comunicano tra loro. Inoltre, possono richiedere un monitoraggio costante e sovrapporsi l'uno all'altro in termini di copertura, per cui si finisce per avere più segnali e allarmi e meno visibilità di prima.
In breve, anziché aggiungere precisione ed efficienza al lavoro, l'aggiunta di strumenti può introdurre nuovi livelli di complessità e frustrazione.
Galassie di nuovi punti ciechi
Ogni giorno, il vostro team passa più tempo a giocare a rimpiattino con migliaia di nuovi segnali e avvisi generati da nuovi strumenti. In effetti, il team SOC medio riceve quasi 4.500 avvisi al giorno, con un sorprendente 67% di questi avvisi che non viene mai analizzato. Semplicemente non c'è tempo per farlo. Questo flusso costante di avvisi, unito alla mancanza di un contesto per i segnali, comporta un enorme aumento dei punti ciechi.
Ma voi e tutti gli altri operatori del settore lo sapete già. Nello stesso sondaggio, il 71% degli analisti SOC ammette che l'organizzazione in cui lavora è stata probabilmente compromessa, solo che non sa dove e quando.
A proposito di essere accecati dalla scienza.
Un tasso di burnout astronomico
Non sorprende che i team SOC stiano sperimentando un elevato livello di burnout dei lavoratori e di carenza di personale. Secondo alcune stime, il deficit ammonta a 3,4 milioni di lavoratori qualificati a livello globale. L'elevato tasso di burnout è direttamente collegato allo stress quotidiano derivante dalla scarsa efficacia del segnale e dall'allungamento delle ore di lavoro senza risultati positivi. Questo crea un circolo vizioso di sovraccarico di lavoro, maggiore stress e dimissioni.
Le statistiche relative sono sorprendenti. Circa la metà degli addetti alla sicurezza sta pensando di "lasciare tranquillamente", e circa un terzo cita lo stress costante, il burnout o l'impatto del ruolo sulla propria salute mentale come motivi per lasciare il settore, mentre il 67% sta considerando di lasciare o sta lasciando attivamente il lavoro.
La spirale del di più è reale.
Eclissare il problema con la dissonanza cognitiva
L'indagine ha anche rilevato che il 97% degli analisti SOC si preoccupa di perdere un evento di sicurezza rilevante perché sepolto da una marea di avvisi. Quasi il 40% ha dichiarato che anche il rumore aggiunto dagli strumenti rappresenta un problema.
Eppure, la maggior parte degli analisti SOC intervistati ha giudicato i propri strumenti "efficaci" nel complesso, anche se ammette di avere solo il 75% di visibilità sull'ambiente IT. (Approfondiremo la crisi di fiducia degli analisti SOC nel prossimo post).
La strada da percorrere
Nel frattempo, la risposta breve è che bisogna scartare ciò che non funziona e adottare ciò che funziona. O meglio, investire in soluzioni che si inseriscano in una strategia ibrida più ampia e che siano costruite per aiutare i team ad affrontare le sfide di oggi, non solo a creare più lavoro e rumore. Ci sono semplicemente troppi strumenti isolati che inviano segnali di rilevamento disparati agli analisti SOC. Gli aggressori ibridi prosperano in questa complessità, che rende più facile infiltrarsi, mimetizzarsi e avanzare all'interno di un'organizzazione senza essere visti.
Per iniziare a vincere, i team SOC devono pensare e muoversi alla velocità e alla scala degli attaccanti ibridi. Invece di pensare in termini di singole superfici d'attacco, devono considerare l'attaccante ibrido come un'unica grande superficie d'attacco.
Ma senza visibilità sull'intera infrastruttura IT, dall'OT agli endpoint e oltre, fino agli ambienti cloud , la vostra azienda ibrida non sarà in grado di individuare nemmeno i segnali più comuni di un attacco, come il movimento laterale, l'escalation dei privilegi o il dirottamento degli account cloud .
Ecco perché l'Attack Signal Intelligences di Vectra offre ai team SOC di tutto il mondo un'impareggiabile chiarezza del segnale, un triage delle minacce e una risposta alle minacce automatizzata e guidata dall'intelligenza artificiale. Vectra vi aiuta a spezzare la spirale del "di più" bloccando le minacce che contano di più.
Scoprite come funziona la piattaforma Vectra AI o consultate il rapporto completo sullo stato del rilevamento delle minacce per saperne di più.