Ridurre il rischio cyber con un segnale chiaro e integrato

di Massimiliano Galvagna - Country Manager per l’Italia di Vectra AI 

Nel 2023 gli attacchi informatici sono aumentati del 12%. Secondo il Clusit, l’anno scorso è stata rilevata mensilmente una media di 232 attacchi, con un picco massimo di 270 ad aprile. In Italia è andato a segno l’11% degli attacchi gravi registrati a livello globale, ancora in crescita rispetto al 2022. Gli attacchi si stanno concentrando sugli ambienti ibridi, puntando sulle aziende che detengono una parte dell’infrastruttura in cloud e una parte on-premise, perché questa dualità genera complessità. 

Aumenta anche la concentrazione di attacchi diretti contro le identità, che fanno uso di social engineering e vulnerabilità di tipo zero day per avviare movimenti laterali all’interno della rete aziendale. Gli attuali metodi di rilevamento e la risposta agli attacchi ibridi si stanno rivelando fallimentari, ma, contrariamente alla tendenza attuale, aggiungere altri strumenti che generano più avvisi non è la risposta. Serve piuttosto un nuovo approccio alla sicurezza, che permetta di rispondere in modo rapido ed efficace alle minacce.

Troppi allarmi di sicurezza

Secondo il rapporto 2023 State of Threat Detection di Vectra, gli analisti dei Security Operation Center (SOC) misurano l’efficacia di uno strumento in base al fatto che segnali un evento di minaccia e faccia scattare un allarme. Tuttavia, si calcola che i team SOC siano sommersi ogni giorno da quasi 4.500 avvisi. Nessuna azienda oggi ha il tempo né le risorse per gestire un volume così elevato. Non a caso lo stesso rapporto ha rilevato che il 97% degli analisti teme gli possa sfuggire un evento di sicurezza rilevante e che il 67% degli analisti SOC sta pensando di abbandonare il settore. Ciò spiega il persistente deficit globale di 3,4 milioni di lavoratori altamente qualificati nel campo della sicurezza. Numeri che vanno attribuiti a un carico di lavoro quotidiano sempre più elevato, fonte di stress e frustrazione. È anche il segno di una crisi di fiducia degli analisti nei confronti dell’intero paradigma della cybersecurity. Più strumenti non garantiscono una protezione migliore, anzi comportano un numero crescente di regole, maggiore complessità e costi più elevati. Se non ridefiniamo il modo in cui misuriamo l’efficacia degli strumenti di sicurezza, l’ambiente IT continuerà a deteriorarsi con l’aumento del numero di alert e le dimissioni di massa degli analisti.

Occorre un approccio più intelligente 

I team SOC possono migliorare la situazione evitando di ricorrere a strumenti che ostacolano l’analisi e aumentano il carico di lavoro e scegliendo soluzioni che, al contrario, aumentano la visibilità delle minacce, l’accuratezza del rilevamento e l’efficacia degli analisti. Un primo passo è cambiare il modo in cui le aziende misurano l’efficacia del proprio team. Attualmente, la maggior parte misura la maturità del SOC in base a fattori quali la riduzione dei tempi di inattività (65%), il tempo di rilevamento, indagine e risposta (61%), le violazioni evitate (61%) e il numero di ticket gestiti (60%). Ma queste metriche non sono utili se gli attacchi non rilevati continuano a essere la norma.

Identificare le minacce e stabilire le priorità

Servono sistemi in grado di identificare rapidamente le minacce e stabilire le priorità attraverso un segnale integrato e chiaro. Più il segnale di attacco è efficace, più il SOC diventa cyber-resistente e più è possibile difendere l’organizzazione. Un secondo passo consiste poi nel concentrarsi su ciò che si può controllare, non su ciò che non si può controllare. Ad esempio, non è possibile controllare la superficie di attacco dell’organizzazione: questa continuerà a crescere e a cambiare con gli investimenti digitali. Né è possibile controllare quando, dove o come gli attaccanti cercheranno di violare le difese aziendali.  

Serve un segnale chiaro e integrato

Ciò che si può controllare è la chiarezza del segnale. Man mano che le aziende passano all’hybrid cloud, i cybercriminali diventano sempre più evasivi e ricorrono a nuovi metodi di attacco. Per contrastarli, le organizzazioni hanno bisogno di un segnale integrato in tempo reale su tutte le superfici di attacco ibride e in grado di rilevare, indagare e rispondere agli attacchi in modo rapido e su scala. Il ricorso crescente a soluzioni di rilevamento e risposta estesi (XDR) è semplicemente l’ammissione da parte del mercato che l’EDR, ovvero il rilevamento e la risposta delle minacce agli endpoint, non è più sufficiente. Le organizzazioni hanno bisogno di sistemi di sicurezza che garantiscano chiarezza del segnale su tutta la superficie dell’azienda, compresi cloud, identità, SaaS e rete. 

Il valore di una strategia XDR consiste proprio nella capacità di integrare il segnale per accelerare il rilevamento, le indagini e la risposta alle minacce. C’è bisogno di un cambiamento di mentalità nella sicurezza: avvalersi dell’aiuto prezioso dell’Intelligenza Artificiale permette di accelerare l’analisi di una mole altissima di informazioni e di rilevare in pochi minuti le attività sospette anche in ambienti ibridi e distribuiti.