Jan Tietze, Director Security Strategy EMEA di SentinelOne, mostra come la piattaforma Xdr di SentinelOne assicuri sul nascere l’individuazione delle minacce, riducendo il tempo di rilevamento e permanenza delle stesse
Come si può abbattere un missile prima che colpisca il suo obiettivo? Questo è il problema che oggi devono affrontare i team di sicurezza IT. Con l’aumento dei cyberattacchi, il Security Operation Center (SOC), responsabile della gestione dei medesimi, rappresenta il nodo di questa sfida.
L’obiettivo dei SOC consiste nel trovare nuove soluzioni in grado di rispondere e prevenire tempestivamente il crescente numero di attacchi informatici.
L’importanza assunta dalla risposta agli incedenti
Rispondere accuratamente agli attacchi può produrre un impressionante ritorno in termini di investimenti. Analizzando questo aspetto è emerso che le aziende dotate di un team IR hanno sostenuto costi inferiori rispetto a quelle che ne erano sprovviste. Ma il danno prodotto dai Data Breach, non si limita a quello finanziario. Ogni singola azienda fa parte di un’ampia value chain, di conseguenza, un incidente isolato può causare effetti negativi anche a distanza.
Se analizziamo ad esempio l’attacco informatico ai danni di Vastaamo, il più grande centro privato di psicoterapia in Finlandia, i cybercriminali, oltre ad aver sottratto informazioni sensibili dei pazienti, li hanno minacciati di divulgare le loro informazioni personali. Questo incidente, mostra chiaramente come i cyberattacchi possono arrecare danni anche sul piano personale e umano.
Il tempo è un fattore critico. Come lo salviamo?
Considerando i rischi e le conseguenze di questi attacchi, è fondamentale che i SOC comprendano come individuarli e gestirli correttamente.
Il processo di risposta agli incidenti prevede le seguenti fasi: minimizzazione del rischio, identificazione dell’incidente, contenimento, risposta, pulizia e recupero. In ciascuna di esse il tempo è un fattore critico, che richiede una risposta tempestiva ed efficiente, indipendentemente che si tratti di rilevare un attacco o di neutralizzarlo. Ciò che impedisce ai SOC di rispondere tempestivamente a queste minacce è determinato da un utilizzo improprio degli strumenti a disposizione. Di fatti, la maggior parte dei SOC installa un gran numero di strumenti prima di aver pianificato una strategia specifica. Tutto questo conduce all’installazione di strumenti di sicurezza frmmentati che privano i SOC di un workflow unificato.
In aggiunta, la mancanza di una remediation automatizzata, porta i SOC ad affidarsi al personale IT che però non è in grado di garantire la stessa velocità d’intervento di una macchina.
La scarsa interoperabilità di questo contesto e la marea di dati che ne conseguono, non permettono agli analisti di identificare gli attacchi. In aggiunta, la mancanza di dati contestuali rende impossibile definire il quadro completo della minaccia emergente e di individuarne la forma, il significato e l’entità.
Tutti questi aspetti rendono il processo di risposta agli incidenti disarticolato e difficile da controllare.
Il percorso da seguire
Per superare questa sfida i SOC devono valutare il proprio attuale processo di risposta agli incidenti, verificando che esso sia orientato al raggiungimento dei propri obiettivi. Questi dovrebbero essere misurabili attraverso dei parametri specifici, in grado di individuare eventuali aree che potrebbero generare prestazioni scarse. Nella fase di minimizzazione del rischio, questi parametri dovrebbero essere orientati alla prevenzione, mentre in quelle successive dovrebbero riguardare il tempo impiegato per identificare, contenere, neutralizzare e rimediare agli incidenti.
Attraverso tecniche di misurazione appropriate si può progettare e implementare un processo di risposta agli incidenti end-to-end, senza soluzione di continuità, con procedure e ruoli ben definiti.
L’implementazione di una tool chain integrata, in grado di supportare i flussi di dati armonizzati, permetterà agli operatori e agli analisti di ottenere una piena visibilità della portata della minaccia risolvendo il problema in pochi minuti.
Conclusioni
Lo sviluppo e l’adozione di workflow automatizzati per supportare il processo di risposta agli incidenti ridurrà l’interazione umana e la latenza in tutti i suoi stadi. Questo processo di ottimizzazione, guidato da obiettivi chiari come il rilevamento proattivo e il rapido contenimento delle minacce, contraddistingue la piattaforma Xdr di SentinelOne. La soluzione, nata sul cloud, si differenzia dai classici sistemi EDR in quanto garantisce di individuare sul nascere possibili minacce, in ogni ambiente e su qualsiasi dispositivo, attraverso tecniche moderne di behaviour analytics. In aggiunta, riduce i rischi e migliora l’efficienza delle operation del SOC, abilitando un percorso di digital transformation in totale sicurezza per i clienti. I vantaggi sono molteplici: riduzione del tempo di rilevamento, riduzione del tempo di permanenza della minaccia e l’utilizzo di una tecnologia automatizzata.
