A volte facciamo riferimento a concetti senza conoscerne appieno il significato. Vediamo cosa significano i termini "reattivo", "proattivo" e "ricerca delle minacce" nel contesto della maturità dei centri operativi di sicurezza (SOC).
Modelli operativi SOC
Negli ultimi anni, le operazioni di sicurezza hanno acquisito importanza nel rappresentare la funzione che dovrebbe assumersi la responsabilità del rilevamento e della risposta in linea con gli obiettivi aziendali dell'organizzazione. Tuttavia, lavorando a stretto contatto con centinaia di clienti, ho osservato che SOC non ha lo stesso significato per tutti. Ciò sembra dipendere dal modo in cui il centro operativo di sicurezza è stato avviato in un'organizzazione.
In alcuni casi, ciò comporta il raggruppamento di alcune persone attorno a una tecnologia esistente con processi molto semplici. In questi casi, gli unici miglioramenti nel tempo riguardano il fronte tecnologico. In altri casi, le operazioni di sicurezza sono gestite da un partner, fornite come servizio e utilizzate dal personale di sicurezza interno per il follow-up e la risoluzione degli incidenti.
Esiste anche una combinazione di questi due modelli in un approccio ibrido multilivello. Nell'approccio ibrido, il rilevamento iniziale e la classificazione degli allarmi vengono eseguiti da un'organizzazione esterna, mentre l'indagine approfondita e la risposta sono di competenza di un team interno.
Capire quale approccio sia il migliore esula dallo scopo di questo articolo e l'approccio più ottimale per voi dovrebbe essere considerato nel contesto della vostra organizzazione specifica.
È tutta una questione di maturità
Un aspetto universalmente vero e applicabile a ogni organizzazione è il modo in cui le operazioni di sicurezza maturano nel tempo, come tale maturità sia guidata dagli obiettivi aziendali e come venga monitorata. L'allineamento agli obiettivi aziendali è un aspetto fondamentale per ogni funzione di supporto in un'organizzazione. Ciò è ancora più vero per le operazioni di sicurezza, che sono in prima linea nella riduzione dei rischi aziendali.
Un altro aspetto fondamentale consiste nel raggiungere il giusto equilibrio tra persone, processi e tecnologia. La tecnologia è in genere la parte più semplice, perché si tratta semplicemente di acquistare hardware, software o servizi e utilizzarne i risultati.
Le persone sono probabilmente la sfida più difficile da superare. La carenza di professionisti esperti e qualificati nel campo della sicurezza informatica non è un segreto e l'elevato turnover degli analisti rappresenta un problema quotidiano per la gestione dei SOC.
I processi sono il collante che tiene insieme tutto. Possono avere un impatto positivo quando sono perfettamente allineati con l'attività aziendale e garantiscono agilità e coerenza. I processi devono includere metriche valide e accurate per valutare le prestazioni del SOC rispetto agli indicatori chiave di prestazione e agli obiettivi aziendali.
Il raggiungimento dell'equilibrio tra questi tre elementi si tradurrà in una buona maturità e, cosa ancora più importante, nella capacità di maturare più rapidamente.
Reagire o cacciare?
I processi dovrebbero in parte definire e implementare un approccio investigativo proattivo che vada oltre il modello di rilevamento e reazione che raramente apprende dagli incidenti.
L'approccio reattivo tende a cercare rapidamente una soluzione senza approfondire troppo considerazioni più ampie. Le indagini proattive vanno oltre, ponendo sempre più domande per scoprire aspetti nascosti della minaccia, punti in comune tra più incidenti ed effetti secondari non associati all'incidente oggetto dell'indagine.
Quando questo approccio diventa sistematico e tende ad essere sempre più slegato da incidenti specifici, assume le caratteristiche della caccia alle minacce. Nella caccia alle minacce, l'ambiente e i dati storici vengono analizzati alla ricerca di artefatti correlati alla minaccia.
La ricerca delle minacce dovrebbe concentrarsi sui comportamenti degli aggressori sotto forma di TTP, metodologie di attacco e strumenti piuttosto che su indicatori atomici. Questo approccio avrà un impatto positivo sia sulla copertura delle minacce che sulla durata del rilevamento.
Non sto dicendo che gli hash dei file, gli indirizzi IP o i domini non siano utili. Possono essere un ottimo modo per valutare la portata di una violazione. Tuttavia, un approccio proattivo investe più tempo nella ricerca delle minacce per ottenere risultati più duraturi.
La ricerca delle minacce dovrebbe essere eseguita anche in combinazione con il MITRE ATT&CK . Come afferma Matt Bromiley del SANS Institute: "Associando la ricerca delle minacce agli obiettivi, alle tecniche e alle tattiche noti degli autori delle minacce, si inizia a considerare la ricerca delle minacce non come un'attività singola, ma piuttosto nel contesto di come un aggressore possa raggiungere tale obiettivo all'interno del proprio ambiente".
Un approccio scientifico
Un'altra differenza fondamentale tra la ricerca delle minacce e il rilevamento delle minacce risiede nei processi che li guidano. Il rilevamento delle minacce è un processo lineare in cui vengono generati degli avvisi, che vengono classificati e, se pertinenti, viene avviata la fase di risposta.
D'altra parte, la ricerca delle minacce si adatta maggiormente alla metodologia scientifica che inizia con la formulazione di un'ipotesi. Successivamente, prevede la ricerca, la valutazione dei risultati e il ritorno alla ricerca se i risultati non confermano l'ipotesi.
I metodi reattivi, proattivi e di ricerca delle minacce apportano tutti valore, ma a livelli diversi.
Un SOC maturo e di successo, in linea con i fattori trainanti del business, ha probabilmente attraversato un processo di bilanciamento tra persone, processi e componenti tecnologiche. Allo stesso tempo, consente di passare da una modalità reattiva a una vera e propria caccia alle minacce basata sui comportamenti delle minacce e sulle metodologie di attacco piuttosto che su artefatti utilizzati come possibili prove.
