Per i professionisti della sicurezza le nuvole si fanno sempre più fitte e questo può essere un bene. Man mano che le loro organizzazioni utilizzano cloud per un maggior numero di applicazioni, i team di sicurezza devono integrare una serie molto più ampia di telemetria per dare un senso al loro ambiente. La costruzione della consapevolezza della situazione è già abbastanza impegnativa con gli ambienti esistenti. Ma il passaggio a una maggiore integrazione del cloud può essere un catalizzatore per i team che devono fare un passo avanti verso strumenti analitici che li rendano più produttivi ed efficaci.
In un recente studio di 451 Research, parte di S&P Global Market Intelligence, il 57% ha dichiarato di aver già implementato o di stare implementando ambienti cloud ibridi che mescolano sistemi on-premise e cloud off-premise. Ciò significa che si trovano già a dover gestire una serie di nuovi tipi di informazioni che questi sistemi generano e i maggiori volumi disponibili. Se da un lato una maggiore quantità di dati crea l'opportunità di ottenere migliori approfondimenti, dall'altro le competenze necessarie per operare in questi nuovi mondi possono scarseggiare.
Un altro studio di 451 Research dello stesso periodo mostra che le carenze più gravi di competenze segnalate riguardano le competenze in materia di piattaforme cloud , funzioni e strumenti cloud, seguite da vicino dalla sicurezza delle informazioni. Questa combinazione può significare che non solo la carenza a lungo termine di professionisti della sicurezza delle informazioni persiste, ma che la mancanza di persone con competenze cloud potrebbe superarla. Le organizzazioni devono capire che non possono pensare di risolvere questi problemi con le assunzioni.
L'uso dell'analitica nella sicurezza è cresciuto in modo significativo, spinto dall'esigenza a lungo termine di trovare moltiplicatori di forza per i team più oberati. Questa richiesta ha portato a una proliferazione dell'uso di termini come intelligenza artificiale (AI) e apprendimento automatico, spesso con affermazioni drammatiche sulla loro efficacia. L'uso di questi termini è diventato così diffuso che un altro nostro studio della fine del 2019 li ha collocati al secondo posto tra le tendenze o le parole d'ordine più inflazionate in materia di sicurezza, subito dopo la blockchain. Questo indica quanto sia difficile per i professionisti della sicurezza dare un senso alla marea di affermazioni che stanno inondando il mercato.
Cosa deve fare un CISO povero in questa situazione? Nonostante le percezioni di clamore, gli analytics sono il modo per andare avanti e aumentare sia la produttività che l'efficacia. Ma devono tenere a mente due cose: (1) l'intelligenza artificiale non è tutta uguale e (2) alcune fonti di telemetria sono più uguali di altre.
Per quanto riguarda la telemetria, le fonti di dati più affidabili hanno la meglio sulle altre. Anche in un mondo nuvoloso, le fonti di rete presentano molti vantaggi. Sono una solida fonte di verità e sono resistenti al rilevamento degli aggressori. Molti ambienti cloud non saranno in grado di fornire un accesso alla rete, quindi i team di sicurezza devono essere in grado di ingerire i log di flusso e i record di accesso e utilizzare sistemi in grado di correlarli.
Per quanto riguarda l'analisi, è importante considerare quali modelli vengono utilizzati e come vengono messi al lavoro. Le tecniche di apprendimento non supervisionato promettono la capacità di operare con poca gestione, ma nessun sistema di successo è completamente non supervisionato. Gli approcci più maturi costruiscono e mettono a punto modelli in grado di indirizzare diverse fonti e di correlare diversi dati di telemetria. Utilizzeranno più modelli e valuteranno i risultati per restringere la generazione di eventi a quelli con il giusto livello di fiducia.
La combinazione dei dati giusti e delle analisi corrette può aiutare i team di sicurezza a separare le nuvole e a proteggere una risorsa importante per l'azienda moderna.
Per scoprire come i team operativi di sicurezza sfruttano il moderno rilevamento e risposta di rete (NDR) basato sul comportamento per dare la caccia alle minacce e anticipare gli aggressori , programmate una demo.