Dalla preparazione al follow-up, le organizzazioni continuano a lottare per sviluppare un approccio semplificato alla risposta agli incidenti. Per rispondere in modo efficace e contenere gli incidenti di sicurezza informatica è necessario che persone, processi, strumenti e dati lavorino insieme in modo armonioso. Purtroppo, questo livello di armonia è una rarità nei moderni centri operativi di sicurezza (SOC). Esploriamo quindi l'importanza dell'integrazione del flusso di lavoro per i moderni team di sicurezza operativa, al fine di utilizzare in modo efficace le loro risorse e rispondere in modo efficiente agli incidenti.
Problemi attuali relativi ai processi di risposta agli incidenti
Le seguenti tre statistiche dipingono da sole un quadro preoccupante dello stato attuale della risposta agli incidenti:
- Il tempo medio necessario per contenere una violazione dei dati è di 80 giorni.
- Un rapporto del 2021 sulla risposta agli incidenti ha rilevato che fino al 54% dei team di sicurezza spreca tempo prezioso indagando su avvisi di basso livello che rallentano il processo di risposta agli incidenti.
- Le aziende implementano in media 45 strumenti di sicurezza informatica sulle loro reti, il che rende più difficile l'interazione tra le diverse tecnologie e ostacola la capacità di rilevare e contenere gli incidenti di sicurezza informatica.
Queste statistiche dimostrano che esiste una fondamentale mancanza di integrazione nel modo in cui i team addetti alla sicurezza riuniscono strumenti e processi disparati.
Si è registrato un aumento significativo del numero di attori malintenzionati che prendono di mira le organizzazioni, sia gruppi sponsorizzati da nazioni che gruppi a scopo di lucro. I moderni ambienti IT caratterizzati da cloud ibride e da una forza lavoro remota aumentano entrambi la superficie di attacco. Un flusso di lavoro strutturato e integrato è fondamentale per consentire ai team di sicurezza di prepararsi all'afflusso di attacchi moderni e rispondere rapidamente agli incidenti.
L'integrazione del flusso di lavoro non è importante solo dal punto di vista della risposta efficace agli incidenti di sicurezza, ma anche dal punto di vista aziendale. Quando professionisti della sicurezza qualificati, come gli analisti SOC, dedicano gran parte del loro tempo a passare da un'applicazione all'altra solo per comprendere il contesto di un incidente, l'organizzazione spreca risorse preziose. Da un recente sondaggio è emerso che il 51% degli intervistati ritiene che il ROI del SOC stia peggiorando, mentre l'80% ha valutato la complessità del proprio SOC come molto elevata.
La soluzione per una migliore risposta agli incidenti
Nel solo settore dei servizi finanziari, le aziende spendono fino a 3.000 dollari per la sicurezza informatica per ogni dipendente, ma nonostante questi investimenti le banche e gli altri istituti finanziari continuano a non riuscire a rispondere adeguatamente agli incidenti. È chiaro che occorre un approccio strategico migliore. Una risposta efficace agli incidenti nel panorama odierno richiede automazione e integrazione tra i sistemi come parte di un flusso di lavoro strutturato e metodico.
Automazione integrata
L'automazione libera tempo ai professionisti della sicurezza, consentendo loro di essere più produttivi, eliminando la necessità di svolgere attività ripetitive. Non è né prudente né pratico automatizzare ogni aspetto della risposta agli incidenti, tuttavia è sensato automatizzare attività quali la generazione di avvisi e la creazione di ticket di incidente per avvisare i team SOC.
Un punto cruciale in questo caso è concentrare gli sforzi di automazione tra diversi sistemi, in modo che lo stack tecnologico funzioni come un'unità coesa piuttosto che come isole isolate che spesso creano colli di bottiglia nel processo di risposta. Ciò significa che l'automazione dovrebbe essere integrata tra il livello endpoint delle intrusioni o endpoint al sistema SIEM fino al sistema di ticketing. La ricerca di soluzioni basate su API per una più facile integrazione tra i sistemi potenzia il livello di automazione richiesto in tutto il flusso di lavoro di risposta agli incidenti.
Un altro elemento fondamentale nel processo di automazione per una risposta efficiente agli incidenti è l'intelligenza artificiale (AI). Le aziende devono ridurre il tempo necessario per rilevare gli incidenti da giorni a minuti. Le soluzioni basate su modelli di apprendimento automatico possono automatizzare il rilevamento delle minacce utilizzando l'analisi comportamentale. Questa automazione basata sull'intelligenza artificiale consente una risposta e una risoluzione più rapide degli incidenti di sicurezza.
Flussi di lavoro strutturati
Flussi di lavoro di risposta agli incidenti formalizzati, strutturati e ripetibili sono fondamentali per consentire ai team di sicurezza di reagire prontamente, anziché impantanarsi nella classificazione degli avvisi. Le soluzioni SIEM forniscono una visione centralizzata dei dati di sicurezza, ma l'enorme volume di dati, unito a processi inefficaci, rallenta la risposta del SOC agli eventi di sicurezza.
I flussi di lavoro incentrati su una serie di attività che incorporano l'automazione possono consolidare e convertire più risultati provenienti da diversi strumenti di sicurezza in elementi utilizzabili. I flussi di lavoro stabiliscono un flusso logico che i team possono seguire per svolgere indagini su incidenti di sicurezza, come ad esempio l'identità compromessa di un utente. Il flusso di lavoro stabilisce chi deve essere avvisato, cosa deve essere fatto quando viene segnalata una potenziale compromissione dell'identità, quali dati rappresentano una compromissione dell'identità e quali misure sono necessarie per il ripristino.
I flussi di lavoro strutturati garantiscono un processo di risposta agli incidenti coerente, prevedibile e fluido. I componenti di base di un flusso di lavoro sono gli eventi che attivano la risposta, le azioni e le decisioni da intraprendere e lo stato finale che chiude il ciclo rappresentando il risultato desiderato in base a condizioni predefinite. Iniziate a creare flussi di lavoro per eventi di sicurezza comuni, quali:
- Compromissione della password
- Acquisizione dell'account e-mail
- Malware
Una volta implementati i flussi di lavoro, applica l'automazione alle attività in cui è possibile, in modo da avere l'automazione sia all'interno dei sistemi che tra di essi. Ciò libera il personale SOC da lavori noiosi e dispendiosi in termini di tempo e migliora i tempi di risposta. Ad esempio, quando un nuovo dispositivo si connette alla rete, viene eseguita una scansione automatica delle vulnerabilità, che attiva un avviso automatico nel SIEM.
Ecco un breve esempio di un flusso di lavoro automatizzato e integrato di risposta agli incidenti in risposta a malware :
- La soluzione di rilevamento attiva un malware e lo inoltra al sistema SIEM sulla base di soglie predefinite che indicano malware
- Viene creato automaticamente un ticket di incidente per il team SOC.
- Il ticket viene aggiornato automaticamente con informazioni contestuali malware per consentire un'indagine più rapida da parte degli analisti della sicurezza.
- Quando il responsabile dell'incidente decide l'azione da intraprendere, il ticket viene risolto e il ciclo viene chiuso aggiornando automaticamente l'avviso originale nella soluzione di rilevamento.
Una maggiore produttività del SOC, un migliore ritorno sull'investimento degli strumenti di sicurezza e tempi di risposta più rapidi sono i vantaggi più importanti dell'integrazione e dell'automazione dei flussi di lavoro. Vale la pena dedicare del tempo alla definizione di una strategia per i flussi di lavoro automatizzati e integrati del proprio SOC.
Porta la tua risposta agli incidenti a un livello superiore partecipando a una demo self-service oggi stesso!