Tre ragioni per cui vengono adottati i Security Operations Center (SOC)
I team IT e di sicurezza aziendali si trovano ad affrontare sfide di sicurezza informatica che mettono sempre più alla prova le loro capacità difensive. Le organizzazioni devono proteggersi da un numero crescente di incidenti (un attacco ogni 39 secondi, secondo l’Università del Maryland) e da minacce sofisticate, molte delle quali hanno gravi conseguenze. Nonostante l’aumento dei budget per la sicurezza delle organizzazioni, il costo degli attacchi informatici continua a crescere anno dopo anno (più di 6 miliardi di dollari nel 2019, secondo uno studio CSIS).
Ad esempio, il lavoro da casa e la mobilità degli utenti hanno ampliato il perimetro di sicurezza aziendale e portiamo questo confine “con noi” ovunque lavoriamo. Anche i gruppi criminali hanno cambiato tattica, nascondendosi tra servizi legittimi per prendere di mira le aziende che hanno spostato la propria infrastruttura nel cloud; inoltre, gli attaccanti hanno sviluppato nuovi modi per introdursi nella rete senza essere visti.
Sebbene non venga prestata sufficiente attenzione a questi pericoli, essi possono avere un impatto diretto sui team addetti alle operazioni di sicurezza, ostacolarne l’efficacia e mettere a rischio le organizzazioni. Il nuovo eBook di WatchGuard Advanced Endpoint Security for SOC: Your Weapon to Hunt the Unknown affronta tre sfide principali in quest'area:
- Mancanza di esperti di sicurezza informatica: nel 2021, 2,9 milioni di posti di lavoro nel settore della sicurezza informatica non sono stati occupati in tutto il mondo. Come risultato di questa carenza di risorse, molte organizzazioni non dispongono di team dotati di una formazione sufficiente sulla sicurezza informatica per affrontare le minacce, rendendole molto più vulnerabili e quindi più suscettibili a conseguenze più negative.
- L'effetto "Alert Fatigue" crea inefficienze: di fronte alla proliferazione delle minacce e alla varietà dei vettori di attacco che i criminali informatici possono utilizzare per accedere ai sistemi, molti SOC ricorrono a una serie di soluzioni di sicurezza informatica. Ciò significa che tendono a dividere il loro tempo e la loro attenzione tra diverse piattaforme e strumenti, il che porta a inefficienze e aumenta il rischio per l’organizzazione, poiché potrebbero lasciare potenziali minacce e avvisi senza filtri e senza priorità.
- Tempi di rilevamento e risposta insufficienti: secondo il report The Cost of a Data Breach (2021) pubblicato dal Ponemon Institute, in queste circostanze il tempo medio per il rilevamento delle minacce (212 giorni) e le misure di contenimento (75 giorni) nelle organizzazioni è eccessivamente lungo. Ciò significa spesso che gli hacker hanno tempo sufficiente per spostarsi lateralmente nei sistemi e raggiungere i propri obiettivi, come l'esfiltrazione di dati o l'esecuzione di malware senza essere rilevati da una soluzione di sicurezza.
Questo è il motivo per cui è essenziale rafforzare i team operativi di sicurezza delle organizzazioni con servizi gestiti da esperti in operazioni di sicurezza proattive, noti nel settore come Modern SOC. I SOC moderni automatizzano la ricerca proattiva di potenziali attaccanti in agguato all'interno dell'organizzazione e dei suoi endpoint e accelerano una risposta efficace per prevenire un incidente di sicurezza il prima possibile, riducendo così al minimo l'impatto e quindi il costo per l'organizzazione.
Alcune delle misure chiave alla base dell'efficienza dei SOC moderni sono le seguenti:
- Adottare un approccio Zero Trust. Concedere il minor numero di privilegi possibile agli utenti, non fidarsi mai (ma convalidare sempre) della legittimità di identità, utenti e applicazioni e infine supervisionare e monitorare sempre qualsiasi attività per rilevare anomalie comportamentali il prima possibile.
- Non essere reattivo riguardo agli alert, bensì essere proattivo nel cercare comportamenti sospetti o tecniche di attacco sofisticate utilizzando un meccanismo living-off-the-land, che non richiede agli hacker di utilizzare i propri dispositivi e non essere rilevati.
- Applicare analisi di sicurezza scalate e automatizzate per rilevare, analizzare e rispondere all'attaccante il più rapidamente possibile, fornendo un'analisi dettagliata dei sistemi interessati, delle vulnerabilità sfruttate e della causa principale dell'incidente.
- Adottare servizi di threat hunting nei processi continui, poiché migliorano i meccanismi di rilevamento automatizzato e quindi fanno fronte al flusso costante di minacce.