2023 Stato del rilevamento delle minacce

Sintesi

Oggi i team dei centri operativi di sicurezza (SOC) hanno il compito di proteggere l'organizzazione da attacchi informatici ibridi sempre più sofisticati e veloci.

Rilevare, indagare e bloccare i cyberattacchi avanzati a velocità e scala sta diventando sempre più insostenibile con la complessità della tecnologia che i team SOC hanno a disposizione. La tempesta perfetta di una superficie di attacco in continua espansione, di metodi di attacco altamente evasivi ed emergenti e di un carico di lavoro crescente per gli analisti SOC si traduce in una spirale viziosa per i team SOC.

In questo studio globale indipendente su 2.000 analisti SOC, ci siamo tuffati a capofitto nelle sfide che gli analisti SOC devono affrontare.

La conclusione è che il rilevamento delle minacce è fondamentalmente rotto.

Questo rapporto evidenzia una forte discrepanza tra l'efficacia degli analisti SOC e l'efficacia degli strumenti di rilevamento delle minacce. Mentre molti analisti SOC ritengono che i loro strumenti siano efficaci, un certo numero di analisti interessati ammette che la stessa tecnologia ostacola la loro capacità di difendere efficacemente l'organizzazione dai cyberattacchi.

Il rumore degli avvisi e il tempo dedicato al triage degli avvisi sono in aumento. I punti ciechi di rilevamento e i falsi positivi sono in aumento e la stanchezza, il burnout e il turnover degli analisti SOC sono a un punto di svolta. Il settore continua a registrare un deficit di talenti pari a 3,4 milioni di persone e tutti i segnali indicano che la situazione non potrà che peggiorare.

Con una posta in gioco così alta - e con le demotivanti richieste manuali del lavoro che logorano i team SOC - molti analisti stanno considerando di abbandonare il proprio ruolo o si stanno "licenziando silenziosamente", andando ad aggiungersi al già esistente gap di competenze in materia di sicurezza e lasciando che gli analisti rimasti in azienda si trovino ad affrontare ancora più lavoro.

L'odierno sistema di rilevamento e risposta alle minacce non è funzionante e sta spingendo gli esseri umani sull'orlo del baratro. È giunto il momento per le aziende di ripensare gli approcci tradizionali del settore al rilevamento delle minacce e di iniziare a ritenere i fornitori responsabili dell'efficacia del loro segnale? Questa ricerca indica di sì, perché gli aggressori stanno vincendo.

Più superfici di attacco, più avvisi, più costi

Gli analisti SOC sono in prima linea nella continua lotta contro i cyberattacchi.

Il loro compito è fondamentale: rilevare, indagare e rispondere alle minacce nel modo più rapido ed efficiente possibile. Più a lungo lasciano un potenziale avversario all'interno della rete aziendale, più danni duraturi potrebbe causare. Ma i difensori sono sempre più messi alla prova da tre fattori fondamentali: le dimensioni della superficie di attacco dell'organizzazione, il numero di avvisi di sicurezza che ricevono e il loro crescente carico di lavoro. Questa "spirale del di più" minaccia la capacità dei difensori di svolgere con successo il proprio lavoro.

Quasi due terzi (63%) degli intervistati affermano che la dimensione della superficie di attacco è aumentata negli ultimi tre anni, mentre il 27% afferma che è aumentata in modo significativo. Il 61% degli analisti indica anche un aumento dei volumi di vulnerabilità che hanno colpito la loro organizzazione durante questo periodo. Gli investimenti in tecnologie digitali e cloud durante la pandemia sono alla base di questa espansione. Ma se da un lato la digitalizzazione ha contribuito ad aumentare la produttività e a migliorare l'esperienza dei clienti, dall'altro offre agli aggressori maggiori opportunità di colpire un'organizzazione. Ciò è particolarmente vero quando le competenze interne non riescono a tenere il passo con gli investimenti digitali. È in aumento la domanda di analisti per migliorare le loro conoscenze cloud , dato che il 61% degli intervistati ammette di non avere le competenze e l'esperienza necessarie per difendere l'impronta cloud in espansione dell'organizzazione.

Allo stesso tempo, gli strumenti esistenti non riescono a dare priorità agli eventi per ulteriori indagini, aumentando il carico di lavoro dei team già in difficoltà. I team SOC ricevono in media 4.484 avvisi al giorno. Gli analisti passano quasi 3 ore (2,7) al giorno a gestire manualmente gli avvisi, cifra che sale a oltre 4 ore al giorno per il 27% degli intervistati.

Il triage manuale degli avvisi costa alle aziende circa 3,3 miliardi di dollari all'anno ^solo negli Stati Uniti1. In media, gli analisti della sicurezza non sono in grado di gestire oltre due terzi (67%) degli avvisi che ricevono quotidianamente. Inoltre, l'83% di questi avvisi sono falsi positivi e non valgono il loro tempo. Questa valanga di avvisi non ha solo un effetto negativo sulla produttività degli analisti. Un mare di avvisi nascosti permette agli aggressori di mimetizzarsi facilmente e di passare inosservati, mascherandosi in attività "normali". Il problema non accenna ad arrestarsi: due terzi (66%) degli intervistati affermano che il numero di avvisi ricevuti è in aumento, e l'aumento degli avvisi comporta un aumento dei costi.

^{Calcolato sulla base di 115.573 analisti di sicurezza che guadagnano uno stipendio medio di 48 dollari l'ora e che spendono l'83% delle loro 2,72 ore (2,26 ore sulla base dell'83% di avvisi benigni) al giorno per gestire falsi avvisi di sicurezza per 260 giorni all'anno.}

Più strumenti, più punti ciechi, più burnout

Il 71% degli analisti SOC ammette che l'organizzazione in cui lavora è stata probabilmente compromessa e non ne è ancora a conoscenza , mentre l'84% ritiene che sia almeno possibile. In altre parole, con gli strumenti di cui dispongono oggi, gli analisti non hanno la certezza di poter individuare i segni di un attacco in corso e proteggere la propria organizzazione. Ciò è in contrasto con la maggior parte degli analisti che attualmente affermano che gli strumenti sono efficaci, suggerendo una contraddizione che mette in discussione l'approccio delle organizzazioni alla sicurezza.

‍

‍

‍

‍

Allo stesso tempo, quasi tutti gli analisti SOC (97%) si preoccupano di perdere un evento di sicurezza rilevante perché sepolto da una marea di avvisi, mentre quasi la metà (46%) se ne preoccupa ogni giorno. La combinazione di punti ciechi e di un elevato numero di falsi positivi significa che le aziende e i loro team SOC stanno lottando per contenere il rischio informatico. Senza visibilità sull'intera infrastruttura IT, dall'OT agli endpoint e oltre, fino agli ambienti cloud , le organizzazioni non sono in grado di individuare nemmeno i segnali più comuni di un attacco, come il movimento laterale, l'escalation dei privilegi o il dirottamento degli account cloud .

‍

‍

TUTTAVIA, LA STRAGRANDE MAGGIORANZA DEGLI ANALISTI SOC INTERVISTATI RITIENE CHE I LORO STRUMENTI SIANO COMPLESSIVAMENTE "EFFICACI":

I dati suggeriscono un forte scollamento tra l'atteggiamento degli analisti SOC nei confronti degli strumenti che utilizzano per rilevare e rispondere agli incidenti informatici e il loro riconoscimento dei punti ciechi della sicurezza. Sebbene molti analisti ritengano efficaci le loro tecnologie, si trovano comunque ad affrontare un numero crescente di avvisi e ammettono che gli stessi strumenti sopra menzionati contribuiscono alla mancanza di visibilità e all'incertezza, oltre che al sovraccarico di avvisi.

LA SFIDA È MESSA A NUDO DA ULTERIORI RISULTATI CHE MOSTRANO COME GLI ANALISTI NON ABBIANO UNA VISIBILITÀ COMPLETA DEI LORO AMBIENTI IT. NONOSTANTE LA CONVINZIONE DEGLI ANALISTI DI SOC CHE I LORO STRUMENTI SIANO "EFFICACI", TRE QUARTI DICHIARANO DI NON AVERE UNA VISIBILITÀ COMPLETA:

Questo dimostra che le aspettative degli analisti SOC nei confronti dei loro strumenti di sicurezza sono semplicemente troppo basse. Accettando che i loro strumenti di sicurezza siano efficaci così come sono, i team SOC si stanno attrezzando per fallire. Nonostante gli analisti affermino che gli strumenti sono efficaci, una percentuale significativa degli stessi analisti rimprovera ai propri strumenti di creare troppo "rumore" (39%). Inoltre, l'enorme quantità di rumore generato dagli avvisi di sicurezza ha un costo molto umano per gli analisti SOC. Il sovraccarico di avvisi sta spingendo gli analisti fuori dalla porta e aggrava la carenza di competenze in materia di sicurezza.

Il settore della cybersecurity soffre da anni di una grave carenza di competenze. Secondo le stime, la carenza di lavoratori a livello globale è di 3,4 milioni. La battaglia per attrarre e trattenere i talenti si fa sempre più aspra, ed è aggravata dallo stress e dalle frustrazioni quotidiane che possono essere ricondotte a una scarsa efficacia del segnale. Questa è una cattiva notizia per le organizzazioni, perché può creare un circolo vizioso di stress sul posto di lavoro e di dimissioni che può essere difficile da risolvere.

Non esistono due analisti della sicurezza uguali. Ma molti entrano in questa professione per motivi simili. Alcuni vogliono "fare la differenza" (49%) e proteggere le persone dai cyberattacchi (48%). Altri sono attratti dalla cybersicurezza per la sfida intellettuale (43%) e per l'opportunità di andare a caccia di minacce informatiche in modo proattivo ogni giorno (47%), anche se queste opportunità possono essere vanificate da processi manuali, sovraccarico di allarmi e strumenti inadeguati. C'è anche un numero significativo (49%) che desidera semplicemente un reddito solido. Ma molti analisti, oberati da una tecnologia inefficace, si rendono conto che esistono modi più semplici per guadagnare somme simili.

Nonostante i tre quarti (74%) degli intervistati affermino che il lavoro corrisponde alle loro aspettative, due terzi (67%) stanno valutando di lasciare il lavoro o lo stanno lasciando attivamente. Di questi, quasi un quarto (24%) sta cercando un altro ruolo di analista, ma un quinto (20%) sta abbandonando completamente la professione. Questo dovrebbe far suonare un campanello d'allarme per le organizzazioni. Più della metà (55%) degli analisti dichiara di essere talmente occupata da avere la sensazione di svolgere il lavoro di più persone. Inoltre, il 50% degli analisti di sicurezza è talmente stanco da essere tentato di "abbandonare". Gli analisti sono chiaramente sotto pressione e il settore non può permettersi di vederli abbandonare la professione.

Meno analisti ci sono, più i team saranno sotto pressione e più alti saranno i livelli di stress e il carico di lavoro per coloro che restano. A sua volta, questo potrebbe spingere un numero ancora maggiore di persone a cambiare lavoro o carriera.

Molte delle ragioni che gli analisti adducono per pensare di lasciare il proprio lavoro possono essere collegate ai problemi evidenziati in precedenza. Si lamentano di passare troppo tempo a vagliare avvisi di scarsa qualità (39%), di lavorare molte ore e di sentirsi annoiati "a morte" in questo ruolo (32%). Tutto ciò si collega ai problemi di sovraccarico di avvisi causati da strumenti inadeguati e processi manuali. Più di un terzo degli intervistati cita anche lo stress costante sul posto di lavoro (35%), il burnout (34%) e l'impatto del ruolo sulla propria salute mentale (32%).

Più di un terzo (35%) sostiene che la leadership dell'organizzazione semplicemente non capisce la sicurezza. Ciò significa che i team SOC non sempre ricevono gli strumenti giusti per svolgere il proprio lavoro in modo efficiente.

È molto preoccupante che oltre la metà (52%) dei professionisti del settore con cui abbiamo parlato ritenga che lavorare nel settore della sicurezza non sia un'opzione di carriera praticabile a lungo termine. L'intelligenza artificiale e l'automazione non possono fare molto. Abbiamo ancora bisogno di una massa critica di addetti alla sicurezza che interpretino i dati, avviino indagini e intraprendano azioni correttive sulla base delle informazioni ricevute.

Più inefficienze, più inefficacia, più violazioni

Questa ricerca indica che gli analisti SOC ritengono che la misura dell'efficacia si basi sul fatto che uno strumento di sicurezza rilevi o meno un evento di minaccia e attivi un allarme.

Questa situazione deve cambiare. Se non si affronta il problema della rottura del modello di sicurezza e non si ridefinisce il modo in cui si misura l'efficacia degli strumenti di sicurezza, la situazione non potrà che peggiorare con l'aumento del volume degli avvisi.

Il primo passo consiste nel cambiare il modo in cui gli analisti misurano l'efficacia. Attualmente, la maggior parte misura la maturità del SOC in base a fattori quali la riduzione dei tempi di inattività (65%), il tempo di rilevamento, indagine e risposta (61%), le violazioni evitate (61%) e il numero di ticket gestiti (60%). Ma è discutibile l'utilità di dare priorità alla misurazione continua di queste metriche se l'organizzazione subisce continuamente violazioni inconsapevoli.

Come già osservato, il 71% degli analisti di sicurezza ammette che l'organizzazione in cui lavora è stata probabilmente compromessa e non ne è ancora a conoscenza, mentre l'84% ritiene che sia almeno possibile. Allo stesso tempo, quasi tutti (97%) gli analisti SOC si preoccupano di perdere un evento di sicurezza rilevante perché sepolto da una marea di avvisi, mentre quasi la metà (46%) se ne preoccupa ogni giorno.

È evidente che gli analisti SOC hanno un problema di fiducia. Questi due risultati da soli ci inducono a chiederci: quanto è fiducioso il team SOC quando si tratta di sapere quando e dove un aggressore ha compromesso l'organizzazione nel momento stesso in cui viene compromesso? Questa ricerca suggerisce la necessità di un Indice di fiducia nella sicurezza (SCI) che valuti la visibilità delle minacce, l'accuratezza del rilevamento e l'efficacia del carico di lavoro degli analisti.

Forse, se esistesse un indice di fiducia nella sicurezza, le organizzazioni riterrebbero i loro fornitori maggiormente responsabili della visibilità della superficie di attacco, dell'accuratezza del rilevamento e della produttività degli analisti. Non siamo ancora a questo punto, perché meno della metà (44%) degli intervistati concorda sul fatto che i fornitori dovrebbero assumersi una maggiore responsabilità per l'accuratezza dei segnali di allarme, mentre il 41% ritiene che il sovraccarico di avvisi sia la norma perché i fornitori hanno paura di non segnalare qualcosa che potrebbe rivelarsi importante.

Meno della metà (40%) degli analisti si dice stanca dei fornitori che vendono nuovi prodotti che aumentano il volume degli avvisi piuttosto che migliorare l'efficacia delle minacce. Una percentuale simile (39%) sostiene che gli strumenti utilizzati aumentano il carico di lavoro anziché ridurlo.

La colpa non è solo dei fornitori, ma anche dell'intero processo decisionale che deve essere rivalutato. Quasi due su cinque (38%) sostengono che gli strumenti di sicurezza vengono spesso acquistati più che altro per soddisfare i requisiti di conformità. E quasi la metà (47%) vorrebbe che gli altri membri del team IT si consultassero con loro prima di investire in nuovi prodotti. Un terzo (34%) degli analisti che stanno pensando di lasciare il proprio ruolo o che lo stanno lasciando attivamente, sostiene di non avere gli strumenti necessari per proteggere la propria organizzazione. L'intero settore deve smettere di commettere gli stessi errori e di acquistare strumenti che ostacolano gli analisti e ne aumentano il carico di lavoro.

Conclusione

Abbiamo visto in questo rapporto come una "spirale di più" stia minacciando di sopraffare gli analisti SOC. Mentre gli attori delle minacce hanno una superficie di attacco sempre più ampia da colpire e un numero crescente di tecniche per farlo, i difensori sono alle prese con un rumore eccessivo di avvisi e con la complessità dell'IT. Di conseguenza, passano ore a smistare gli avvisi e corrono il rischio di perdere attacchi legittimi in mezzo al rumore.

Sebbene molti analisti ritengano che i loro strumenti siano efficaci, ammettono anche di avere grandi lacune di visibilità. La maggior parte dichiara addirittura di essere probabilmente già ignara di una violazione. Questa situazione non può continuare. Molti danno la colpa ai fornitori di tecnologia o alla mancanza di consultazione con i team di sicurezza prima dell'acquisto degli strumenti. Lo stress e la demotivazione che ne derivano inducono molti a ripensare la propria carriera, con un impatto devastante a lungo termine.

Le organizzazioni devono concentrarsi su ciò che possono controllare. Questo non include la superficie di cyberattacco aziendale, che continuerà a crescere man mano che gli investimenti digitali verranno sfruttati per aumentare la produttività, l'innovazione e l'efficienza. I team SOC non possono nemmeno affrontare il panorama delle minacce in continua espansione: gli aggressori cercheranno sempre nuovi modi per superare i difensori.

Tuttavia, ciò che le organizzazioni possono controllare sono i problemi di segnale e di burnout che attualmente affliggono gli analisti SOC. È ora di riconoscere che una sicurezza efficace nel SOC non significa semplicemente rilevare possibili eventi di minaccia, ma individuare con precisione e dare priorità agli attacchi reali. Ecco perché le aziende devono esigere chiarezza sui segnali dai loro fornitori di sicurezza. Più il segnale di attacco è efficace, più il SOC diventa cyber-resistente, efficiente ed efficace.

Prospettiva di Vectra AI

Nell'ultimo decennio, la difesa della sicurezza informatica si è concentrata su ciò che è noto. Le metodologie di rilevamento delle minacce attraverso le persone, i processi e la tecnologia si sono basate in larga misura su firme, anomalie e regole per individuare e impedire ai criminali informatici di infiltrarsi nell'organizzazione e di esfiltrare i dati. Il problema di questo approccio è che non funziona. Con il passaggio delle aziende ad ambienti ibridi e cloud , con l'adozione di identità digitali, catene di fornitura digitali ed ecosistemi, i responsabili della sicurezza, del rischio e della conformità, gli architetti e gli analisti si trovano a dover affrontare sempre di più. Più superficie d'attacco da sfruttare e infiltrare per gli aggressori. Più metodi per gli aggressori per eludere le difese e avanzare lateralmente. Più rumore, complessità e attacchi e incidenti cloud ibrido.

La chiamiamo "spirale del di più" e, man mano che le organizzazioni spostano un numero maggiore di applicazioni e dati nel cloud, la spirale diventa più grande e più velocemente accelera, creando più sfide per i team SOC. In questa spirale, il rilevamento e la risposta alle minacce sono diventati più complessi e meno efficaci. Il fatto è che ci sono semplicemente troppi strumenti disparati e siloed che creano troppo rumore di rilevamento da gestire per un analista SOC. A peggiorare le cose, gli aggressori prosperano sul rumore, perché rende più facile infiltrarsi in un'organizzazione, mimetizzarsi e avanzare senza essere visti. La misura dell'efficacia di uno strumento di sicurezza NON consiste nel rilevare e segnalare un possibile evento di minaccia. Questo non fa altro che sovraccaricare gli analisti e metterli a rischio di perdere qualcosa di importante.

I team SOC spendono una quantità spropositata di tempo in attività manuali banali come la manutenzione delle firme, la messa a punto delle regole di rilevamento e la gestione di centinaia, se non migliaia, di avvisi al giorno, per poi scoprire di aver passato ore a inseguire falsi positivi su falsi positivi, mentre gli attacchi reali passano inosservati. Questo sistema è rotto. L'approccio odierno al rilevamento e alla risposta alle minacce non è sostenibile. Gli analisti sono costretti a coprire una superficie di attacco sempre più vasta, mentre gli strumenti di sicurezza emettono un volume crescente di avvisi imprecisi.

Tuttavia, man mano che il panorama delle minacce si espande e si evolve, ai team di sicurezza vengono venduti più strumenti di rilevamento delle minacce, che creano più rumore e facilitano un maggior numero di attacchi non visti, con conseguente aumento delle violazioni, e quindi distribuiscono più strumenti, creando altro rumore, e la spirale viziosa continua. Come settore, non possiamo continuare a fare ciò che è sempre stato fatto, commettendo gli stessi errori e alimentando la stessa spirale. Se vogliamo spezzare la spirale, dobbiamo fornire ai team SOC l'unica cosa che continua a mancare: il segnale. Quando si tratta di spezzare la spirale del "di più", l'unico "di più" di cui ha bisogno la sicurezza è un segnale più efficace. È ora che i fornitori di sicurezza siano ritenuti responsabili dell'efficacia del loro segnale.

La chiarezza del segnale fa la differenza tra il tempo speso in attività manuali e banali e quello dedicato alle indagini e alla risposta agli attacchi reali. Noi sosteniamo che il fornitore che fornisce il segnale più accurato si guadagnerà la fiducia del team SOC. Più il segnale di minaccia è efficace, più il SOC diventa resiliente, efficiente ed efficace.

L'approccio odierno al rilevamento e alla risposta alle minacce non è sostenibile. Gli analisti sono costretti a coprire una superficie di attacco sempre più ampia, mentre gli strumenti di sicurezza emettono un volume crescente di avvisi imprecisi.

Circa Vectra AI

Vectra AI è leader nel rilevamento delle minacce e nella risposta AI per le aziende ibride e cloud . Solo Vectra AI fornisce in modo nativo la telemetria degli attacchi ibridi su cloud pubblico, SaaS, identità e reti in un'unica piattaforma. La piattaforma Vectra AI con Attack Signal Intelligence™ brevettata consente ai team di sicurezza di stabilire rapidamente le priorità, indagare e rispondere agli attacchi informatici più avanzati e urgenti nel loro ambiente ibrido. Vectra AI ha 35 brevetti nel campo del rilevamento delle minacce guidato dall'intelligenza artificiale ed è il fornitore più citato da MITRE D3FEND. Le organizzazioni di tutto il mondo si affidano alla piattaforma Vectra AI e ai servizi MDR per muoversi alla velocità e alla scala degli aggressori ibridi. Per ulteriori informazioni, visitate il sito www.vectra.ai.

Metodologia

Questo rapporto si basa su uno studio di marzo-aprile 2023 commissionato da Vectra e realizzato da Sapio Research. Sapio ha intervistato 2.000 analisti di sicurezza informatica che lavorano in organizzazioni con più di 1.000 dipendenti negli Stati Uniti (200), nel Regno Unito (200), in Francia (200), in Germania (200), in Italia (200), in Spagna (200), in Svezia (200), nei Paesi Bassi (200), in Australia e Nuova Zelanda (200) e in Arabia Saudita ed Emirati Arabi Uniti (200).