Rapporto 2023 sullo stato del rilevamento delle minacce

Sintesi

I team dei centri operativi di sicurezza (SOC) di oggi hanno il compito di proteggere l'organizzazione da attacchi informatici ibridi sempre più sofisticati e rapidi.

Individuare, analizzare e bloccare attacchi informatici avanzati con rapidità ed efficacia sta diventando sempre più difficile, vista la complessità delle tecnologie a disposizione dei team SOC. Una combinazione esplosiva di una superficie di attacco in continua espansione, metodi di attacco sempre più elusivi ed emergenti e un carico di lavoro crescente per gli analisti SOC sta generando una spirale viziosa che grava sempre più sui team SOC.

In questo studio indipendente condotto a livello mondiale su 2.000 analisti SOC, ci addentriamo nelle sfide che questi professionisti devono affrontare.

La nostra conclusione è che il sistema di rilevamento delle minacce sia fondamentalmente inefficace.

Questo rapporto mette in luce un forte divario tra l'efficacia degli analisti dei SOC e l'efficienza degli strumenti di rilevamento delle minacce. Sebbene molti analisti dei SOC ritengano che i propri strumenti siano efficaci, diversi analisti preoccupati ammettono che la stessa tecnologia ostacoli la loro capacità di difendere efficacemente l'organizzazione dagli attacchi informatici.

Il numero di avvisi e il tempo dedicato alla loro valutazione sono in aumento. I punti ciechi nel rilevamento e i falsi positivi stanno aumentando, mentre l'affaticamento da avvisi, il burnout e il turnover degli analisti SOC hanno raggiunto un punto di svolta. Il settore registra ancora un deficit di personale pari a 3,4 milioni di unità e tutto lascia presagire che la situazione è destinata a peggiorare.

Con una posta in gioco così alta – e le attività manuali e demotivanti che logorano i team SOC – molti analisti stanno valutando di lasciare il proprio posto di lavoro o stanno attuando una "dimissione silenziosa", aggravando così il deficit di competenze nel settore della sicurezza già esistente e lasciando gli analisti rimasti in azienda a dover far fronte a un carico di lavoro ancora maggiore.

L'attuale sistema di rilevamento e risposta alle minacce è fallimentare e sta mettendo a dura prova il personale. È giunto il momento che le organizzazioni ripensino gli approcci tradizionali del settore al rilevamento delle minacce e inizino a ritenere i fornitori responsabili dell'efficacia dei loro segnali? Questa ricerca indica che la risposta è "sì", perché gli aggressori stanno vincendo.

Più superfici di attacco, più avvisi, più costi

Gli analisti SOC sono in prima linea nella lotta continua contro gli attacchi informatici.

Il loro compito è fondamentale: individuare, analizzare e reagire alle minacce nel modo più rapido ed efficiente possibile. Più a lungo un potenziale aggressore rimane all’interno della rete aziendale, più gravi saranno i danni che potrà causare. Tuttavia, i responsabili della sicurezza si trovano sempre più spesso a dover affrontare tre fattori chiave: l’estensione della superficie di attacco dell’organizzazione, il numero di avvisi di sicurezza che ricevono e il crescente carico di lavoro. Questa “spirale di aumenti” mette a rischio la capacità dei responsabili della sicurezza di svolgere con successo il proprio lavoro.

Quasi due terzi (63%) degli intervistati affermano che la superficie di attacco della propria organizzazione è aumentata negli ultimi tre anni, mentre il 27% sostiene che sia aumentata in modo significativo. Il 61% degli analisti segnala inoltre un'impennata nel numero di vulnerabilità che hanno colpito la propria organizzazione in questo periodo. Gli investimenti nelle tecnologie digitali e cloud effettuati durante la pandemia sono alla base di gran parte di questa espansione. Ma mentre la digitalizzazione ha contribuito a stimolare la produttività e a migliorare l'esperienza dei clienti, offre anche agli aggressori maggiori opportunità di prendere di mira un'organizzazione. Ciò è particolarmente vero quando le competenze interne non riescono a tenere il passo con gli investimenti digitali. C'è una crescente richiesta affinché gli analisti migliorino cloud loro cloud , poiché il 61% degli intervistati ammette di non possedere le competenze e l'esperienza necessarie per difendere la crescente cloud dell'organizzazione.

Allo stesso tempo, gli strumenti attualmente in uso non riescono a stabilire in modo efficace le priorità degli eventi da approfondire, aumentando il carico di lavoro di team già oberati. I team SOC ricevono in media 4.484 avvisi al giorno. Gli analisti dedicano quasi 3 ore (2,7) al giorno alla classificazione manuale degli avvisi, una cifra che sale a oltre 4 ore al giorno per il 27% degli intervistati.

La gestione manuale degli avvisi costa alle organizzazioni circa 3,3 miliardi di dollari all'anno^solo negli Stati^Uniti¹. In media, gli analisti della sicurezza non riescono a gestire oltre due terzi (67%) degli avvisi giornalieri che ricevono. Inoltre, sostengono che l'83% di questi avvisi sia costituito da falsi positivi e non meriti il loro tempo. Questa valanga di avvisi ha un impatto più che negativo sulla produttività degli analisti. Dietro a tutto questo si nasconde un mare di avvisi, che permette agli aggressori di mimetizzarsi facilmente e passare inosservati, mascherandosi tra le attività "normali". Questo problema non mostra segni di arresto, con due terzi (66%) degli intervistati che affermano che il numero di avvisi che ricevono è in aumento, e un aumento degli avvisi significa un aumento dei costi.

^{Il calcolo si basa su 115.573 analisti della sicurezza con uno stipendio medio di 48 dollari l'ora, che dedicano l'83% delle loro 2,72 ore giornaliere (2,26 ore, considerando che l'83% degli allarmi è innocuo) alla selezione degli allarmi di sicurezza falsi per 260 giorni all'anno.}

Più strumenti, più punti ciechi, più esaurimento

Il 71% degli analisti SOC ammette che l'organizzazione per cui lavora è stata probabilmente compromessa e che ancora non ne è a conoscenza, mentre l'84% ritiene che ciò sia quantomeno possibile. In altre parole, con gli strumenti di cui dispongono oggi, gli analisti non hanno la sicurezza necessaria per affermare di poter individuare i segnali di un attacco in corso e proteggere la propria organizzazione. Ciò è in contrasto con la maggior parte degli analisti che attualmente sostengono che gli strumenti siano efficaci, suggerendo una contraddizione che mette in discussione l'approccio delle organizzazioni alla sicurezza.

‍

‍

‍

Allo stesso tempo, quasi tutti (97%) gli analisti SOC temono di trascurare un evento di sicurezza rilevante perché sepolto sotto una valanga di avvisi, mentre quasi la metà (46%) se ne preoccupa quotidianamente. Una combinazione di punti ciechi e un elevato volume di falsi positivi significa che le aziende e i loro team SOC stanno lottando per contenere il rischio informatico. Senza una visibilità completa sull'intera infrastruttura IT, dall'OT agli endpoint e oltre, fino cloud , le organizzazioni semplicemente non saranno in grado di individuare nemmeno i segni più comuni di un attacco, come il movimento laterale, l'escalation dei privilegi o il dirottamento cloud .

‍

‍

Eppure, la stragrande maggioranza degli analisti SOC intervistati ritiene che i propri strumenti siano nel complesso «efficaci»:

I dati evidenziano un forte divario tra l'opinione degli analisti SOC sugli strumenti che utilizzano per individuare e gestire gli incidenti informatici e la loro consapevolezza dei punti deboli nella sicurezza. Sebbene molti analisti ritengano efficaci le proprie tecnologie, si trovano comunque a dover gestire un numero crescente di avvisi e ammettono che gli stessi strumenti citati sopra contribuiscono a una mancanza di visibilità e a un clima di incertezza, oltre che a un sovraccarico di avvisi.

LA SFIDA VIENE MESSO IN EVIDENZA DA ULTERIORI RISULTATI CHE DIMOSTRANO COME GLI ANALISTI NON DISPONGANO DI UNA VISIBILITÀ COMPLETA DEI PROPRI AMBIENTI IT. NONOSTANTE GLI ANALISTI SOC RITENGANO CHE I LORO STRUMENTI SIANO «EFFICACI», TRE QUARTI DI LORO AFFERMANO DI NON AVERE UNA VISIBILITÀ COMPLETA SU:

Ciò dimostra che le aspettative degli analisti SOC nei confronti dei propri strumenti di sicurezza sono semplicemente troppo basse. Accettando che i propri strumenti di sicurezza siano efficaci così come sono, i team SOC si stanno preparando al fallimento. Nonostante gli analisti sostengano che gli strumenti siano efficaci, una percentuale significativa di loro attribuisce proprio a questi strumenti la responsabilità di generare troppo “rumore” (39%). Inoltre, l'enorme quantità di rumore generata dagli avvisi di sicurezza sta avendo un costo umano molto elevato per gli analisti SOC. Il sovraccarico di avvisi sta spingendo gli analisti ad abbandonare il settore e sta aggravando la carenza di competenze in materia di sicurezza.

Il settore della sicurezza informatica soffre da anni di una grave carenza di competenze. Secondo le stime, a livello globale il deficit di personale ammonta a 3,4 milioni di unità. La lotta per attrarre e trattenere i talenti si sta facendo sempre più agguerrita ed è aggravata dallo stress e dalle frustrazioni quotidiane, riconducibili a una scarsa efficacia della comunicazione. Si tratta di una cattiva notizia per le organizzazioni, poiché può innescare un circolo vizioso di stress sul posto di lavoro e dimissioni che potrebbe rivelarsi difficile da risolvere.

Non esistono due analisti della sicurezza uguali. Tuttavia, molti scelgono questa professione per motivi simili. Alcuni desiderano «fare la differenza» (49%) e proteggere le persone dagli attacchi informatici (48%). Altri sono attratti dalla sicurezza informatica per la sfida intellettuale (43%) e l'opportunità di cercare proattivamente le minacce informatiche ogni giorno (47%), anche se queste opportunità possono essere vanificate da processi manuali, sovraccarico di avvisi e strumenti inadeguati. C'è anche un numero significativo (49%) che desidera semplicemente un reddito solido. Ma molti analisti, oberati da una tecnologia inefficace, si rendono conto che esistono modi più semplici per guadagnare somme simili.

Nonostante tre quarti (74%) degli intervistati affermino che il lavoro corrisponda alle loro aspettative, due terzi (67%) stanno valutando di lasciare il proprio impiego o lo stanno già facendo. Di questi, quasi un quarto (24%) è alla ricerca di un altro ruolo come analista, mentre un quinto (20%) sta abbandonando del tutto la professione. Questo dovrebbe far suonare un campanello d’allarme per le organizzazioni. Più della metà (55%) degli analisti afferma di essere così impegnata da avere l'impressione di svolgere il lavoro di più persone. Inoltre, il 50% degli analisti di sicurezza è talmente esausto da essere tentato di "dimettersi in silenzio". Gli analisti sono chiaramente sovraccarichi di lavoro e il settore non può permettersi di vederli abbandonare la professione.

Meno analisti ci saranno a disposizione, più i team saranno sotto pressione e maggiori saranno i livelli di stress e il carico di lavoro per chi rimane. Ciò, a sua volta, potrebbe spingere un numero ancora maggiore di persone a cambiare lavoro o carriera.

Molti dei motivi addotti dagli analisti per prendere in considerazione l’idea di lasciare il proprio lavoro possono essere ricondotti ai problemi sopra evidenziati. Si lamentano di dover dedicare troppo tempo a vagliare avvisi di scarsa qualità (39%), di lavorare per molte ore e di provare una noia «paralizzante» nel proprio ruolo (32%). Tutto ciò è in linea con i problemi di sovraccarico di avvisi causati da strumenti inadeguati e processi manuali. Più di un terzo degli intervistati cita anche lo stress costante sul posto di lavoro (35%), il burnout (34%) e l'impatto del ruolo sulla propria salute mentale (32%).

Più di un terzo (35%) sostiene che i vertici dell'organizzazione semplicemente non capiscano nulla di sicurezza. Ciò significa che i team SOC potrebbero non disporre sempre degli strumenti adeguati necessari per svolgere il proprio lavoro in modo efficiente.

È molto preoccupante che oltre la metà (52%) dei professionisti del settore con cui abbiamo parlato ritenga che lavorare nel settore della sicurezza non sia una valida opzione professionale a lungo termine. L'intelligenza artificiale e l'automazione hanno i loro limiti. Abbiamo ancora bisogno di un numero sufficiente di addetti alla sicurezza per interpretare i dati, avviare indagini e adottare misure correttive sulla base delle informazioni che ricevono.

Più inefficienze, più inefficacia, più violazioni

Da questa ricerca emerge che gli analisti SOC ritengono che l'efficacia di uno strumento di sicurezza si misuri in base alla sua capacità di rilevare un evento di minaccia e di attivare un allarme.

Questa situazione deve cambiare. Se non si interviene sul modello di sicurezza ormai obsoleto e non si ridefinisce il modo in cui misuriamo l'efficacia degli strumenti di sicurezza, la situazione non potrà che peggiorare con l'aumentare del volume degli avvisi.

Il primo passo consiste nel modificare il modo in cui gli analisti misurano l'efficacia. Attualmente, la maggior parte di essi valuta la maturità del SOC sulla base di fattori quali la riduzione dei tempi di inattività (65%), i tempi di rilevamento, indagine e risposta (61%), le violazioni prevenute (61%) e il numero di ticket gestiti (60%). Tuttavia, è discutibile quanto sia utile dare priorità alla misurazione continua di tali parametri se l'organizzazione subisce violazioni a sua insaputa su base continuativa.

Come già sottolineato, il 71% degli analisti della sicurezza ammette che l'organizzazione per cui lavora è stata probabilmente compromessa senza che se ne sia ancora accorta, mentre l'84% ritiene che ciò sia quantomeno possibile. Allo stesso tempo, quasi tutti (97%) gli analisti dei SOC temono di trascurare un evento di sicurezza rilevante perché sepolto sotto una valanga di avvisi, mentre quasi la metà (46%) se ne preoccupa quotidianamente.

È evidente che gli analisti del SOC abbiano un problema di affidabilità. Questi due risultati, già di per sé, sollevano una domanda: quanto è sicuro il team del SOC nel capire quando e dove un aggressore ha compromesso l'organizzazione nel momento stesso in cui la compromissione avviene? Questa ricerca suggerisce la necessità di un Indice di Affidabilità della Sicurezza (SCI) che valuti la visibilità delle minacce, l'accuratezza del rilevamento e l'efficacia del carico di lavoro degli analisti.

Forse, se esistesse un indicatore denominato "Indice di fiducia nella sicurezza", le organizzazioni chiederebbero ai propri fornitori di assumersi maggiori responsabilità in materia di visibilità della superficie di attacco, accuratezza del rilevamento e produttività degli analisti. Non siamo ancora a quel punto, poiché meno della metà (44%) degli intervistati concorda sul fatto che i fornitori dovrebbero assumersi maggiori responsabilità riguardo all'accuratezza dei segnali di allerta, mentre il 41% ritiene che il sovraccarico di allarmi sia la norma, poiché i fornitori temono di non segnalare qualcosa che potrebbe rivelarsi importante.

Meno della metà (40%) degli analisti dichiara di essere stanca dei fornitori che vendono nuovi prodotti che aumentano il volume degli avvisi anziché migliorare l'efficacia nella lotta alle minacce. Una percentuale simile (39%) sostiene che gli strumenti che utilizzano stiano aumentando il carico di lavoro anziché ridurlo.

La colpa non è però solo dei fornitori: occorre rivalutare l’intero processo decisionale. Quasi due su cinque (38%) sostengono che gli strumenti di sicurezza vengono spesso acquistati più che altro per soddisfare i requisiti di conformità. E quasi la metà (47%) vorrebbe che gli altri membri del team IT si consultassero con loro prima di investire in nuovi prodotti. Tra gli analisti che stanno pensando di lasciare o stanno già lasciando il proprio ruolo, un terzo (34%) sostiene di non disporre degli strumenti necessari per proteggere la propria organizzazione. Il settore nel suo complesso deve smettere di commettere gli stessi errori e di acquistare strumenti che ostacolano gli analisti e aumentano il loro carico di lavoro.

Conclusione

In questo rapporto abbiamo visto come una “spirale di intensificazione” rischi di sopraffare gli analisti dei SOC. Mentre gli autori delle minacce dispongono di una superficie di attacco sempre più ampia su cui concentrarsi e di un numero crescente di tecniche per farlo, i difensori devono fare i conti con un eccesso di falsi allarmi e con la complessità dei sistemi IT. Di conseguenza, dedicano ore alla selezione degli allarmi e corrono comunque il rischio di non individuare attacchi reali a causa del rumore di fondo.

Sebbene molti analisti ritengano che i propri strumenti siano efficaci, ammettono anche l'esistenza di gravi lacune in termini di visibilità. La maggioranza sostiene addirittura di non essersi probabilmente nemmeno accorta di una violazione. Questa situazione non può continuare. Molti attribuiscono la colpa ai fornitori di tecnologia o alla mancanza di consultazione con i team di sicurezza prima dell'acquisto degli strumenti. Lo stress e la demotivazione che ne derivano stanno spingendo molti a riconsiderare la propria carriera, il che potrebbe avere un impatto devastante a lungo termine.

Le organizzazioni devono concentrarsi sugli aspetti che possono controllare. Tra questi non rientra la superficie di attacco informatico aziendale, che continuerà ad ampliarsi man mano che gli investimenti nel digitale vengono sfruttati per migliorare la produttività, l'innovazione e l'efficienza. Né i team SOC sono in grado di far fronte al panorama delle minacce in rapida espansione: gli aggressori cercheranno sempre nuovi modi per superare in astuzia i difensori.

Tuttavia, ciò che le organizzazioni possono controllare sono le sfide legate ai segnali e al burnout che attualmente affliggono gli analisti dei SOC. È giunto il momento di riconoscere che una sicurezza efficace nel SOC non significa semplicemente rilevare possibili eventi di minaccia, ma individuare con precisione gli attacchi reali e stabilirne la priorità. Ecco perché le organizzazioni devono esigere chiarezza sui segnali dai propri fornitori di soluzioni di sicurezza. Più il segnale di attacco è efficace, più il SOC diventa resiliente alle minacce informatiche, efficiente ed efficace.

Vectra AI

Negli ultimi dieci anni, la difesa della sicurezza informatica si è concentrata su ciò che è noto. Le metodologie di rilevamento delle minacce a livello di persone, processi e tecnologia si sono basate in larga misura su firme, anomalie e regole per individuare e impedire ai criminali informatici di infiltrarsi nell'organizzazione e sottrarre dati. Il problema di questo approccio è che non funziona più. Con il passaggio delle aziende adcloud ibridi ecloud , l'adozione di identità digitali, catene di fornitura digitali ed ecosistemi, i responsabili della sicurezza, del rischio e della conformità, gli architetti e gli analisti si trovano continuamente a dover affrontare una situazione sempre più complessa. Una superficie di attacco più ampia che gli aggressori possono sfruttare e infiltrarsi. Più metodi a disposizione degli aggressori per eludere le difese e avanzare lateralmente. Più rumore, complessità e cloud e incidenti cloud ibrido

Chiamiamo questo fenomeno la «spirale del sempre di più» e, man mano che le organizzazioni trasferiscono un numero crescente di applicazioni e dati sul cloud, la spirale si allarga e accelera, creando ulteriori sfide per i team SOC. In questa spirale del sempre di più, il rilevamento delle minacce e la risposta sono diventati più complessi e meno efficaci. Il fatto è che esistono semplicemente troppi strumenti disparati e isolati tra loro, che generano un rumore di rilevamento troppo elevato perché un analista SOC possa gestirlo. A peggiorare le cose, gli aggressori traggono vantaggio da questo rumore perché rende loro più facile infiltrarsi in un'organizzazione, mimetizzarsi e procedere inosservati. La misura dell'efficacia di uno strumento di sicurezza NON è data dal fatto che esso rilevi o meno un possibile evento di minaccia e invii un avviso. Ciò non fa altro che sopraffare gli analisti e li espone al rischio di trascurare qualcosa di importante.

I team SOC dedicano una quantità eccessiva di tempo ad attività manuali e ripetitive come la gestione delle firme, la messa a punto delle regole di rilevamento e la valutazione di centinaia, se non migliaia, di avvisi al giorno, solo per rendersi conto di aver trascorso ore a rincorrere un falso positivo dopo l'altro, mentre gli attacchi reali passano inosservati. Questo sistema non funziona. L'approccio odierno al rilevamento e alla risposta alle minacce è semplicemente insostenibile. Gli analisti sono costretti a coprire una superficie di attacco sempre più ampia, con strumenti di sicurezza che generano un volume crescente di avvisi imprecisi.

Tuttavia, man mano che il panorama delle minacce si espande e si evolve, ai team di sicurezza vengono venduti sempre più strumenti di rilevamento delle minacce, il che genera più "rumore" e facilita il verificarsi di attacchi inosservati – con un conseguente aumento delle violazioni – spingendoli così a implementare altri strumenti – che generano ancora più "rumore" – e la spirale viziosa continua. Come settore, non possiamo continuare a fare ciò che è sempre stato fatto, commettendo gli stessi errori e alimentando la stessa spirale. Se vogliamo spezzare questa spirale, dobbiamo fornire ai team SOC l'unica cosa che continua a mancare loro: il segnale. Quando si tratta di spezzare la spirale del "di più", l'unica cosa di cui la sicurezza ha bisogno è un segnale più efficace. È ora che i fornitori di sicurezza siano ritenuti responsabili dell'efficacia del loro segnale.

La chiarezza dei segnali fa la differenza tra il tempo dedicato ad attività manuali e ripetitive e quello dedicato all'analisi e alla risposta agli attacchi reali. Riteniamo che il fornitore in grado di fornire i segnali più accurati si guadagnerà la fiducia e la stima del team SOC. Più i segnali di minaccia sono efficaci, più il SOC diventa resiliente alle minacce informatiche, efficiente ed efficace.

L'approccio attuale al rilevamento delle minacce e alla risposta non è più sostenibile. Gli analisti sono costretti a gestire una superficie di attacco sempre più ampia, mentre gli strumenti di sicurezza generano un volume crescente di avvisi imprecisi.

Informazioni su Vectra AI

Vectra AI leader nel rilevamento e nella risposta alle minacce basati sull'intelligenza artificiale percloud con infrastrutture ibride ecloud . Solo Vectra AI offre Vectra AI una telemetria degli attacchi ibrida che copre cloud pubblico, SaaS, identità e reti in un'unica piattaforma. La Vectra AI , con la tecnologia brevettata Attack Signal Intelligence™, consente ai team di sicurezza di stabilire rapidamente le priorità, indagare e rispondere agli attacchi informatici più avanzati e urgenti nel proprio ambiente ibrido. Vectra AI 35 brevetti nel campo del rilevamento delle minacce basato sull'intelligenza artificiale ed è il fornitore più citato da MITRE D3FEND. Le organizzazioni di tutto il mondo si affidano alla Vectra AI e ai servizi MDR per muoversi alla velocità e su scala degli aggressori ibridi. Per ulteriori informazioni, visitare il sito www.vectra.ai

Metodologia

Il presente rapporto si basa su uno studio condotto tra marzo e aprile 2023 su incarico di Vectra e realizzato da Sapio Research. Sapio ha intervistato 2.000 analisti di sicurezza informatica che lavorano presso organizzazioni con più di 1.000 dipendenti negli Stati Uniti (200), Regno Unito (200), Francia (200), Germania (200), Italia (200), Spagna (200), Svezia (200), Paesi Bassi (200), Australia e Nuova Zelanda (200), Arabia Saudita ed Emirati Arabi Uniti (200).