Il panorama sta diventando sempre più nebuloso per i professionisti della sicurezza, ma questo può essere un fattore positivo. Man mano che le loro organizzazioni cloud sempre maggiore cloud applicazioni, i team di sicurezza hanno il compito di integrare una serie molto più ampia di dati telemetrici per comprendere appieno il proprio ambiente. Sviluppare la consapevolezza della situazione è già abbastanza difficile con gli ambienti esistenti. Tuttavia, il passaggio a un maggiore utilizzo cloud essere un catalizzatore che spinge i team ad adottare strumenti analitici che li rendono più produttivi ed efficaci.
In un recente studio condotto da 451 Research, parte di S&P Global Market Intelligence, il 57% degli intervistati ha dichiarato di aver già implementato o di stare implementando cloud ibridi che combinano sistemi on-premise e cloud off-premise. Ciò significa che devono già gestire una serie di nuovi tipi di informazioni generate da questi sistemi e i volumi crescenti disponibili. Sebbene una maggiore quantità di dati offra l'opportunità di ottenere informazioni più approfondite, le competenze necessarie per operare in questi nuovi contesti possono essere scarse.
Un altro studio condotto da 451 Research nello stesso periodo mostra che le carenze di competenze più acute segnalate riguardano le competenze relative cloud , alle funzioni e agli strumenti cloud, seguite da vicino dalla sicurezza delle informazioni. Questa combinazione può significare che non solo persiste la carenza a lungo termine di professionisti della sicurezza delle informazioni, ma che la mancanza di persone con competenze cloud potrebbe superarla. Le organizzazioni devono comprendere che non possono aspettarsi di risolvere questi problemi semplicemente assumendo nuovo personale.
L'uso dell'analisi dei dati nel campo della sicurezza è cresciuto in modo significativo, spinto dalla necessità a lungo termine di trovare moltiplicatori di forza per i team oberati di lavoro. Questa domanda ha portato a una proliferazione dell'uso di termini come intelligenza artificiale (AI) e apprendimento automatico, spesso accompagnati da affermazioni sensazionali sulla loro efficacia. L'uso di questi termini è diventato così diffuso che un altro nostro studio alla fine del 2019 li ha classificati al secondo posto tra le tendenze o le parole d'ordine più sopravvalutate nel campo della sicurezza, subito dopo la blockchain. Ciò dimostra quanto sia difficile per i professionisti della sicurezza dare un senso alla miriade di affermazioni che invadono il mercato.
Cosa può fare un povero CISO in questa situazione? Nonostante l'enfasi mediatica, l'analisi dei dati è la strada da seguire per aumentare sia la produttività che l'efficacia. Tuttavia, è necessario tenere a mente due cose: (1) non tutte le IA sono uguali e (2) alcune fonti di telemetria sono più affidabili di altre.
Dal punto di vista della telemetria, le fonti di dati più affidabili prevalgono sulle altre. Anche in contesti cloud, le fonti di rete presentano numerosi vantaggi. Sono una fonte attendibile di informazioni e resistono al rilevamento da parte degli aggressori. Molti cloud non sono in grado di fornire un tap di rete, quindi i team di sicurezza devono essere in grado di acquisire i log di flusso e accedere ai record, nonché utilizzare sistemi in grado di metterli in correlazione.
Per l'analisi dei dati, è importante considerare quali modelli vengono utilizzati e come vengono messi in pratica. Le tecniche di apprendimento non supervisionato promettono la possibilità di operare con una gestione minima, ma nessun sistema di successo è completamente non supervisionato. Gli approcci più maturi creano e ottimizzano modelli in grado di individuare diverse fonti e correlare diversi dati telemetrici. Utilizzano modelli multipli e valutano i risultati per restringere la generazione di eventi a quelli con il giusto livello di affidabilità.
La combinazione dei dati giusti e delle analisi giuste può aiutare i team di sicurezza a fare chiarezza e a proteggere quella che è una risorsa importante per le aziende moderne.
Per scoprire come i team addetti alla sicurezza stanno sfruttando i moderni sistemi di rilevamento e risposta di rete basati sul comportamento (NDR) per individuare le minacce e stare un passo avanti agli aggressori, prenota una demo.