Archivi tag: SecOps

Perché gli analisti SecOps lottano per sopravvivere

A cura di Salvatore Marcis, Technical Director Trend Micro Italia

Le violazioni sono inevitabili, ma è il modo in cui si reagisce che fa la differenza. Questa filosofia è stata adottata da anni dalle organizzazioni più mature al mondo nel campo della sicurezza informatica. Eppure solo di recente questo approccio si è diffuso nella maggior parte delle imprese. Ciò ha portato a una nuova attenzione sul processo di rilevamento e risposta alle minacce, grazie alla creazione dei Security Operations Center (SOC). Rispetto alla teoria però, la realtà può essere molto diversa. Senza gli strumenti giusti, gli analisti SecOps, sia interni che esterni al SOC, possono trovarsi sotto una pressione estrema che influisce sulla produttività, sulla soddisfazione sul lavoro e sulla condizione mentale. La risposta a questo problema non passa solo dalla tecnologia, ma anche attraverso l’investimento in una piattaforma in grado di aiutare gli analisti a dare la giusta priorità agli avvisi in modo efficace. Quest’ultimo può essere un ottimo punto di partenza.

Oltre la difesa del perimetro della rete aziendale

Le tecniche di attacco moderne e furtive hanno reso il tradizionale approccio “castello e fossato” in gran parte insostenibile. Non è efficace concentrare tutti gli strumenti di sicurezza informatica in possesso nella difesa del perimetro della rete aziendale, quando i malintenzionati possono entrare abbastanza facilmente, tramite  phishing e credenziali trafugate. Basta dare uno sguardo superficiale ad alcuni dei più popolari marketplace del dark web per capire che ottenere tali accessi è facile, oggi più che mai. Una volta dentro, gli stessi cybercriminali usano strumenti come Cobalt Strike, PSExec e Mimikatz per rimanere sotto i radar, spostandosi al tempo stesso lateralmente, rendendo ancora più difficile il loro rilevamento.

Il vecchio modello di sicurezza perimetrale è ormai superato, perché il perimetro stesso, come già noto, è scomparso da tempo. Oggi comprende un ambiente distribuito di endpoint in remoto, app e infrastrutture cloud, dispositivi IoT e molto altro ancora. È fluido e si estende ben oltre i confini della rete aziendale tradizionale. La negligenza, o poca consapevolezza, dei dipendenti è inoltre un altro pericoloso fattore di rischio. Soprattutto oggi che il personale lavora da remoto, su dispositivi potenzialmente insicuri che condividono con altri membri della famiglia. Distrazioni e comportamenti rischiosi a casa rendono più probabile la possibilità che i dati di accesso aziendali finiscano per essere venduti sul dark web.

Sommersi dagli allarmi

Tutto ciò ha posto un’attenzione molto maggiore sui processi di rilevamento e risposta alle minacce aziendali e sul lavoro svolto da parte degli operatori di sicurezza. Ma sia che tu stia gestendo un SOC o gestendo un team di analisti all’interno di un tradizionale reparto di sicurezza IT, c’è un problema. Le organizzazioni hanno accumulato un gran numero di strumenti di sicurezza negli ultimi anni. La sfida è che tutte queste soluzioni emettono allarmi in grandi quantità e su base giornaliera. I SIEM non sempre fanno il loro lavoro per trovare l’ago in questo pagliaio, a meno che non vengano messi a punto regolarmente ed in maniera continuativa nel tempo da esperti.

Il risultato è un sovraccarico degli avvisi e una nuova ricerca  Trend Micro indica che ciò sta causando seri problemi per i Team SecOps. Abbiamo intervistato oltre 2.300 responsabili di  IT security in 21 Paesi, in organizzazioni di tutte le dimensioni e abbiamo scoperto che oltre la metà (51%) ritiene che i propri team siano sommersi dagli allarmi. La percentuale aumenta maggiormente per chi opera in settori come quello immobiliare (70%), legale (69%), hospitality (65%) e retail (61%).

Il 55% ha ammesso di non essere sicuro circa le capacità di stabilire le priorità o di rispondere a questi allarmi. Ciò significa che alcuni di questi passeranno accidentalmente senza essere adeguatamente indagati (falsi negativi). Molti altri saranno analizzati nonostante siano un falso allarme, facendo perdere tempo agli analisti. In media, più di un quarto (27%) del tempo dei team SecOps è dedicato alla gestione di questi falsi positivi.

SecOps sotto pressione

Sfortunatamente, questo sta avendo anche un grave impatto sul benessere degli analisti. Circa il 70% degli intervistati riferisce di sentirsi emotivamente influenzato dal proprio lavoro. Molti non riescono a rilassarsi a causa dello stress e dell’impossibilità di staccare la spina, diventando irritabili con amici e familiari quando finalmente riescono a ottenere un po’ di tempo libero.

Molti altri hanno affermato che la pressione li ha portati a disattivare del tutto gli avvisi, ad allontanarsi dal proprio computer sentendosi sopraffatti dal volume di alert ricevuti o addirittura a ignorare completamente gli avvisi. Inutile sottolineare che questo tipo di comportamento rende molto più probabili le possibilità di una violazione irreparabile. Con il moderno ransomware c’è il rischio sia di interruzioni del servizio paralizzanti, che di furto di dati regolamentati dal GDPR, con conseguenti maggiori controlli e potenziali multe. Anche il pagamento del riscatto non è una garanzia che il rischio sia stato affrontato. La ricerca evidenzia che i gruppi di hacker hanno sempre più probabilità di rompere la loro promessa di non diffondere i dati rubati, anche una volta che la vittima in questione li ha pagati.

Un approccio migliore

Qual è allora la soluzione al problema? I team SecOps possono avere molti strumenti di sicurezza, ma l’unica cosa che in molti dimenticano è una piattaforma in grado di stabilire le priorità e correlare gli avvisi su più livelli dell’infrastruttura IT. In questo modo su e-mail, reti, server cloud ed endpoint, possono lavorare in modo più produttivo, concentrandosi sui segnali che contano e filtrando i pericoli.

I risultati potrebbero essere determinanti e dare la possibilità di  intercettare le minacce più velocemente, prima che abbiano la possibilità di avere un impatto sull’organizzazione. Non solo, ma una volta affrontato il problema del sovraccarico degli avvisi, gli analisti SecOps possono lavorare in modo più produttivo, con livelli di stress inferiori, il personale è più felice e ha meno probabilità di cambiare azienda. Altrettanto importante è l’idea di una sicurezza proattiva come fattore abilitante. Con la speranza che le violazioni gravi possono essere individuate e risolte rapidamente, i leader aziendali potranno investire in nuove iniziative digitali per guidare l’innovazione e la crescita. Questo è esattamente ciò di cui le aziende hanno bisogno, se vogliono pianificare un percorso di ripresa post-pandemia.