Dalla preparazione al follow-up, le organizzazioni continuano a lottare per sviluppare un approccio semplificato alla risposta agli incidenti. Per rispondere e contenere efficacemente gli incidenti di cybersecurity è necessario che persone, processi, strumenti e dati lavorino insieme in modo armonioso. Purtroppo, questo livello di armonia è una rarità nei moderni centri operativi di sicurezza (SOC). Analizziamo quindi l'importanza dell'integrazione dei flussi di lavoro affinché i moderni team operativi di sicurezza possano utilizzare efficacemente le proprie risorse e rispondere in modo efficiente agli incidenti.
Problemi attuali dei processi di risposta agli incidenti
Le tre statistiche seguenti dipingono da sole un quadro sconfortante dello stato attuale della risposta agli incidenti:
- Il tempo medio per contenere una violazione di dati è di 80 giorni.
- Un rapporto del 2021 sulla risposta agli incidenti ha rilevato che fino al 54% dei team di sicurezza spreca tempo prezioso per indagare su avvisi di basso livello che rallentano il processo di risposta agli incidenti.
- Le aziende implementano in media 45 strumenti di cybersecurity sulle loro reti, il che rende più difficile il lavoro congiunto dello stack tecnologico e ostacola la capacità di rilevare e contenere gli incidenti di cybersecurity.
Queste statistiche dimostrano che esiste una fondamentale mancanza di integrazione nel modo in cui i team operativi di sicurezza riuniscono strumenti e processi diversi.
Si è registrato un drammatico aumento del numero di attori delle minacce che prendono di mira le organizzazioni da parte di gruppi sponsorizzati a livello nazionale e a scopo di lucro. Gli ambienti IT moderni, caratterizzati da infrastrutture cloud ibride e da una forza lavoro remota, aumentano la superficie di attacco. Un flusso di lavoro strutturato e integrato è fondamentale per i team di sicurezza per prepararsi all'afflusso di attacchi moderni e rispondere rapidamente agli incidenti.
L'integrazione non è importante solo dal punto di vista della risposta efficace agli incidenti di sicurezza, ma anche dal punto di vista aziendale. Quando professionisti della sicurezza qualificati, come gli analisti del SOC, passano gran parte del loro tempo a passare da un'applicazione all'altra solo per capire il contesto di un incidente, l'organizzazione spreca risorse preziose. Una recente indagine ha rilevato che il 51% degli intervistati ha dichiarato che il ROI del SOC sta peggiorando, mentre l'80% ha valutato la complessità del proprio SOC come molto elevata.
La soluzione per una migliore risposta agli incidenti
Solo nel settore dei servizi finanziari, le aziende spendono fino a 3.000 dollari in cybersecurity per ogni dipendente, ma le banche e le altre istituzioni finanziarie non riescono ancora a rispondere adeguatamente agli incidenti nonostante questi investimenti. È chiaro che è necessario un approccio strategico migliore. Una risposta efficace agli incidenti nel panorama odierno richiede l'automazione e l'integrazione tra i sistemi come parte di un flusso di lavoro strutturato e metodico.
Automazione integrata
L'automazione consente ai professionisti della sicurezza di guadagnare tempo e di essere più produttivi, eliminando la necessità di svolgere attività ripetitive. Non è prudente né pratico automatizzare tutti gli aspetti della risposta agli incidenti, tuttavia ha senso automatizzare attività come la generazione di avvisi e la creazione di ticket di incidente per notificare i team SOC.
Un punto cruciale è quello di concentrare gli sforzi di automazione tra i diversi sistemi, in modo che lo stack tecnologico funzioni come un'unità coesa piuttosto che come isole isolate che spesso creano colli di bottiglia nel processo di risposta. Ciò significa che l'automazione deve essere integrata tra il livello di rilevamento delle intrusioni o degli endpoint , il sistema SIEM e il sistema di ticketing. La ricerca di soluzioni basate su API per facilitare l'integrazione tra i sistemi consente di raggiungere il livello di automazione richiesto nel flusso di lavoro della risposta agli incidenti.
Un altro ingranaggio critico nella macchina dell'automazione per una risposta efficiente agli incidenti è l'intelligenza artificiale (AI). Le aziende devono ridurre il tempo necessario per rilevare gli incidenti da giorni a minuti. Le soluzioni basate su modelli di apprendimento automatico possono automatizzare il rilevamento delle minacce utilizzando l'analisi comportamentale. L'automazione guidata dall'intelligenza artificiale consente una risposta e una risoluzione più rapida degli incidenti di sicurezza.
Flussi di lavoro strutturati
Flussi di lavoro formalizzati, strutturati e ripetibili per la risposta agli incidenti sono fondamentali per consentire ai team di sicurezza di reagire anziché rimanere impantanati nella gestione degli avvisi. Le soluzioni SIEM forniscono una visione centralizzata dei dati di sicurezza, ma la mole di dati e i processi inefficaci rallentano la risposta del SOC agli eventi di sicurezza.
I flussi di lavoro incentrati su una serie di attività che incorporano l'automazione possono consolidare e convertire i risultati di diversi strumenti di sicurezza in elementi attuabili. I flussi di lavoro stabiliscono un flusso logico che i team possono seguire per eseguire indagini su incidenti di sicurezza, come un'identità utente compromessa. Il flusso di lavoro stabilisce chi deve essere avvisato, cosa si deve fare quando viene segnalata una potenziale compromissione dell'identità, quali dati rappresentano una compromissione dell'identità e quali sono i passi necessari per il recupero.
I flussi di lavoro strutturati garantiscono un processo di risposta agli incidenti coerente, prevedibile e senza intoppi. I componenti di base di un flusso di lavoro sono gli eventi iniziali che innescano la risposta, le azioni e le decisioni da prendere e lo stato finale che chiude il ciclo rappresentando il risultato desiderato in base a condizioni predefinite. Iniziate a creare flussi di lavoro per eventi di sicurezza comuni, come ad esempio:
- Compromissione della password
- Acquisizione dell'account e-mail
- Epidemia di Malware
Una volta creati i flussi di lavoro, applicate l'automazione alle attività dove possibile, in modo da avere un'automazione sia all'interno dei sistemi che tra di essi. In questo modo si libera il personale del SOC da un lavoro noioso e lungo e si migliorano i tempi di risposta. Ad esempio, quando un nuovo dispositivo si connette alla rete, viene eseguita una scansione automatica delle vulnerabilità, che attiva un allarme automatico nel SIEM.
Ecco un breve esempio di un flusso di lavoro di risposta agli incidenti automatizzato e integrato in risposta a un'epidemia malware :
- La soluzione di rilevamento attiva un avviso di malware e lo inoltra al sistema SIEM in base a soglie predefinite che indicano la presenza di malware .
- Viene creato automaticamente un ticket di incidente per il team SOC.
- Il ticket viene aggiornato automaticamente con informazioni contestuali sull'epidemia malware per consentire agli analisti della sicurezza di svolgere indagini più rapide.
- Quando il responsabile dell'incidente decide l'azione da intraprendere, il ticket viene risolto e il ciclo si chiude aggiornando automaticamente l'avviso originale nella soluzione di rilevamento.
Una maggiore produttività del SOC, un migliore ROI degli strumenti di sicurezza e tempi di risposta più rapidi sono i principali vantaggi dell'integrazione e dell'automazione dei flussi di lavoro. Vale la pena di dedicare del tempo a una vera e propria strategia di flussi di lavoro automatizzati e integrati per il vostro SOC.
Portate la vostra risposta agli incidenti ad un livello superiore partecipando ad una demo self-service oggi stesso!