Dietro le quinte dei security operations center. L’alleanza inarrestabile tra automazione e intelligenza artificiale. La trasformazione dei SOC a lungo considerati pietra angolare della sicurezza per superare limiti operativi e obsolescenza tecnologica

Il Cyber security operations center (CSOC) è una componente chiave dell’architettura di sicurezza informatica di aziende, enti governativi, istituzioni finanziarie e organizzazioni. Il suo scopo principale è quello di identificare, monitorare, analizzare e rispondere alle minacce alla sicurezza informatica in modo proattivo. Obiettivi a cui corrispondono una serie di attività svolte dal CSOC che vanno dalla gestione e risposta agli incidenti di sicurezza informatica al rilevamento degli attacchi, dal monitoraggio continuo e protettivo della rete e degli asset aziendali alla raccolta, analisi e gestione di log ed eventi di sicurezza, dal coordinamento delle attività di risposta e remediation alle operazioni di indagine successive a un attacco.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Il CSOC svolge un ruolo cruciale nella difesa contro le minacce alla sicurezza IT. Attraverso una piattaforma di raccolta di log di sistemi, eventi e parametri di rete e applicazioni, registri di sicurezza, alert generati da sistemi di rilevamento delle minacce, e altro ancora, il CSOC monitora questi dati provenienti da varie fonti all’interno dell’ambiente IT dell’organizzazione e li analizza in tempo reale o successivamente per individuare eventuali attività sospette al fine di rilevare indicatori di compromissione (IoC) nei payload dei pacchetti, in modo tale da poter classificare gli avvisi e seguire la risposta agli incidenti in caso di violazione della sicurezza. Costruire una piattaforma di monitoraggio è di per sé sfidante, ma ancora più impegnativo è integrare i servizi di sicurezza perché possano essere monitorati. Senza l’onboarding dei servizi e delle infrastrutture per cui è stata creata la piattaforma è come la carrozzeria di un’auto senza motore. Altrettanto importante è soddisfare i requisiti aziendali, in particolare per un CSOC multitenant o che monitora servizi aziendali con requisiti operativi e di sicurezza di diversa natura.

Mentre un SOC può affrontare un’ampia gamma di aspetti della sicurezza, compresi quelli non strettamente legati alla cyber security, un CSOC è specificamente progettato per affrontare minacce informatiche e problemi correlati alla sicurezza digitale. La scelta tra SOC e CSOC dipenderà dalle esigenze specifiche di sicurezza di un’organizzazione. Se l’organizzazione si trova in un contesto in cui la sicurezza delle informazioni è la principale preoccupazione, un CSOC specializzato potrebbe essere più adatto. Al contrario, se ci sono molteplici aspetti della sicurezza, sia fisica che digitale, un SOC più generale potrebbe essere la scelta migliore.

RILEVAMENTO DELLE MINACCE

Utilizzando strumenti avanzati come sistemi di rilevamento delle intrusioni (IDS), sistemi di prevenzione delle intrusioni (IPS), analisi comportamentale e intelligenza artificiale, il CSOC identifica pattern anomali o segnali di minacce potenziali. Il rilevamento avviene attraverso l’analisi dei dati raccolti per individuare comportamenti che potrebbero indicare attività malevola. Tutti i report disponibili, incluso quello di CLUSIT, concordano sul fatto che ci sia una moltitudine variegata di attacchi, la cui tipologia varia velocemente di anno in anno. Servono perciò soluzioni in grado di adattarsi velocemente alla dinamicità delle minacce.

«L’intelligenza artificiale insieme al machine learning rappresenta uno dei possibili approcci che possiamo utilizzare» – spiega Pier Luigi Rotondo, Comitato Scientifico di CLUSIT. Gli analisti del SOC conducono un’analisi approfondita dei dati di sicurezza per comprendere la natura delle minacce identificate. Questo processo può coinvolgere l’analisi dei log, la ricostruzione degli eventi, la valutazione dell’impatto potenziale e la determinazione della gravità dell’incidente. Gli incidenti identificati vengono classificati in base alla loro gravità e al livello di rischio che rappresentano per l’organizzazione. Questa classificazione aiuta a stabilire le priorità nella risposta agli incidenti. Una volta identificato e classificato, il CSOC intraprende una serie di azioni per mitigare l’attacco e limitare i danni: isolare i sistemi compromessi, rimuovere il malware, modificare le credenziali compromesse o rubate e altre misure di sicurezza. «Tutto inizia da una buona classificazione iniziale dell’incidente» – continua Rotondo.

#NextGenSOC L’intelligenza artificiale combinata all’automazione – Pier Luigi Rotondo #CLUSIT

Click To Tweet

«Il triage automatico è qualcosa che i modelli di intelligenza artificiale sanno già fare. Per esempio, è possibile gestire, chiudendo o scatenando automaticamente un’azione, la porzione importante degli incidenti. Gli analisti possono quindi dedicarsi ai casi che richiedono un’investigazione o una risposta più articolata». Il rilevamento precoce delle minacce così e la risposta mirata e tempestiva determinano il successo nel contenere gli impatti di un incidente. Tuttavia per potenziare e perfezionare queste capacità –osserva Massimiliano Battigaglia, head of Managed Services di VEM – «è fondamentale aumentare il patrimonio di conoscenze della struttura mediante l’accumulo di esperienze e la condivisione di informazioni, contribuendo così ad arricchire sia la base di intelligence che i playbook». La risposta – spiega Piergiuseppe Delfino, IT manager & CISO di Aubay Italia – «deve essere immediata e colpire con determinazione la causa per bloccare l’evento». Nondimeno la rapidità o l’estrema determinazione possono portare ad eccessive chiusure e generare dei disservizi. «Ecco perché – continua Delfino – un CSOC deve saper valutare esattamente i rischi ed esporre i fatti in maniera precisa a coloro che detengono la responsabilità decisionale successiva. Fermo restando che di fronte ad eventi di rischio pre-configurato come “critico” le AI possono, in autonomia, determinare la chiusura di firewall, isolare servizi dove i rischi per le aziende siano tali per cui sia meglio tollerare un blackout gestito che una perdita o dispersione dei dati».

AUTOMAZIONE AI-DRIVEN

Le operazioni di sicurezza sono sempre di più supportate dall’automazione e dall’AI. La tendenza è favorita dalla maggiore disponibilità e convenienza di queste tecnologie e dalla crescita della loro efficienza nel rilevare potenziali incidenti informatici, individuando le anomalie sugli endpoint e sulla rete. Per Damian Chung, business information security officer di Netskope, l’adozione e la dipendenza dall’automazione per rendere più efficaci i nostri team è la tendenza più importante che osserviamo. «Risorse umane esperte, in grado di valutare adeguatamente gli incidenti, hanno un costo elevato. Disporre di automazioni in grado di moltiplicare l’efficacia di un team più piccolo può comportare un risparmio in termini di personale, ma anche aumentare il morale del team esistente automatizzando le attività banali». L’impatto dell’automazione sulle attività svolte nei CSOC e più in generale sulla loro efficacia e rilevanza oggi si manifesta in tutta la sua potenza. «Molte attività possono beneficiare dell’utilizzo di intelligenza artificiale combinata all’automazione» – conferma Rotondo di CLUSIT.

#NextGenSOC La parola d’ordine è efficientamento – Massimiliano Battigaglia #VEM

Click To Tweet

«L’AI aiuta i team di sicurezza già nella fase di protezione proattiva, supportandoli nell’identificazione e classificazione di dati di valore per l’organizzazione e dei dati sensibili, identificando e riducendo la superficie di attacco. Il machine learning e la anomaly detection – continua Rotondo – ci aiutano a identificare i comportamenti anomali degli utenti, nel traffico di rete o nei sistemi, correlando tra una moltitudine di eventi per riconoscere le minacce, effettuando un triage e assegnando automaticamente la priorità delle minacce. L’AI è in grado di gestire autonomamente quei casi già consolidati o chiari, per esempio chiudendoli, e supportare l’analista nelle decisioni relative agli incidenti più complessi anche con una visualizzazione grafica o temporale degli eventi e con suggerimenti su come gestire l’incidente».

Leggi anche:  Security Summit Verona, le aziende del nord est più preparate in cyber security, ma mancano risorse

L’automazione è fondamentale per accelerare la risposta agli incidenti e ai tempi di inattività, riducendo – come mette in evidenza Chung di Netskope – il numero di passaggi eseguiti dall’analista durante la valutazione di un possibile incidente. Con l’automazione, si può avviare il processo non appena si attiva l’alert e accelerare la risposta agli incidenti». L’altra tecnologia emergente – spiega Rotondo di CLUSIT – è la threat intelligence inserita all’interno di tutti i processi che governano il CSOC. «Combinata con l’AI, consente di spingere l’analisi all’esterno, per esempio in altre organizzazioni dello stesso settore, anticipando attacchi che sempre di più prendono di mira obiettivi omogenei. Capire quel che sta succedendo in organizzazioni simili alla nostra ci consente di mettere in pratica misure protettive prima ancora che inizi l’attacco».

FATTORE UMANO, NON SOLO AI

L’automazione basata sui processi propri dell’intelligenza umana resta ancora complessa da codificare. L’automazione, l’orchestrazione, l’apprendimento automatico e l’intelligenza artificiale svolgono, e continueranno a svolgere, un ruolo importante nel fornire potenza, ritmo e precisione alle operazioni tipiche dei SOC, ai processi e all’efficienza operativa. Tuttavia, l’automazione basata sui processi propri dell’intelligenza umana resta ancora complessa da codificare in intelligenza artificiale, perciò il monitoraggio delle operazioni di sicurezza, almeno per il momento, continuerà ad essere dominio di analisti in carne ed ossa. «L’introduzione dell’automazione nella fase di risposta ottimizza i tempi di reazione, spesso compromessi dagli ingaggi inter-team» – commenta Battigaglia di VEM. «Ma, ancora una volta, è imprescindibile riconoscere il ruolo cruciale delle competenze umane nelle attività ad alto valore aggiunto».

Il CSOC ha il compito di collaborare con altri team all’interno dell’organizzazione, tra cui il team IT e, se presente, quello dedicato alla risposta agli incidenti informatici. In alcuni casi, è necessario coordinare una risposta efficace coinvolgendo anche le forze dell’ordine o fornitori esterni di servizi di sicurezza. «La collaborazione tra vendor e cliente è un elemento determinante nella gestione di una crisi o anche solo di un tentativo di attacco» – aggiunge Delfino di Aubay Italia. «Il rapporto con clienti e fornitori quando si è coinvolti in qualunque genere di incidente informatico è determinante. Una rapida risposta preventiva o restrittiva, la determinazione dell’incidente e delle cause, l’arginare l’evento ed avere a disposizione i materiali per una indagine forense non sono opzioni, ma regole da rispettare rigidamente senza margini di interpretazione». Ogni fase del processo di gestione degli incidenti in un CSOC efficiente viene accuratamente documentata per consentire riferimenti futuri e analisi post-incidente. Ciò include la redazione di rapporti dettagliati che descrivono la dinamica dell’incidente, le azioni adottate e le raccomandazioni per migliorare le procedure future. Da questo punto di vista – rileva Rotondo di CLUSIT – «i primi casi d’uso di AI generativa per la creazione di reportistica sono molto promettenti. Partendo dalle numerose informazioni tecniche che un SIEM, o più in generale un SOC, è in grado di collezionare, è già possibile generare report con informazioni contestualizzate all’auditorio verso il quale è indirizzato».

Basandosi sull’analisi degli incidenti e sulla valutazione delle risposte, il CSOC cerca costantemente di migliorare le proprie capacità, adottando nuovi strumenti, tecniche e processi per affrontare le minacce emergenti. «L’interpretazione degli indicatori di performance favorisce l’identificazione di trend generali. Tuttavia, ogni incidente rappresenta una fonte di informazioni che, ad un’analisi approfondita, evidenzia elementi da valorizzare e altri da migliorare» – spiega Battigaglia di VEM. «Tipicamente un incident non scaturisce da un’unica “falla”, ma da una concatenazione di eventi e vulnerabilità del sistema, che spesso si collocano su piani diversi, tecnologico, organizzativo e operativo. Occorre evidenziarle senza preconcetti, ed estrapolare un elenco di azioni correttive specifiche e concrete, promuovendo così un ciclo di miglioramento continuo». Il cartello “days since the last accident” rappresenta un vero paradosso per Delfino di Aubay Italia, che suggerisce di agire cercando di prevenire quel che potrebbe accadere.

Il numero di giorni trascorsi dall’ultimo incidente non rappresenta un indicatore di performance, anzi potrebbe addirittura creare un’illusione di sicurezza basata sulla mancanza di incidenti registrati, ma senza riflettere una reale attenzione alla prevenzione degli incidenti stessi. «Costruire sulla base di esperienza, aggiornare i piani degli CSIRT, avere dei team preparati e formati per la gestione è il vero segreto» – afferma Delfino. «Misurare, simulando incidenti senza preavvisare il proprio team, i tempi di risposta e le azioni intraprese per poi migliorarne la postura e le modalità di interazione, è una delle opzioni che permettono di conoscere come le persone reagiscono sotto stress».

#NextGenSOC L’AI come l’alleata per definizione – Piergiuseppe Delfino #Aubay

Click To Tweet

NUOVE FRONTIERE PER I CSOC

CSOC distribuiti sul territorio, in cloud e ibridi. La pandemia ha reso possibile la creazione di CSOC distribuiti. Perché non continuare? Durante e dopo la pandemia, una percentuale non trascurabile di CSOC si sono trasformati, passando a uno stato operativo distribuito con operatori sparsi sul territorio. CSOC di questo tipo sono diffusi soprattutto negli USA, pubbliche amministrazione e grandi aziende, con filiali e sedi in diversi continenti e altrettante time zone, che così possono perseguire un approccio “follow the sun”, allestendo un pool di servizi senza interruzioni. I CSOC distribuiti rappresentano altresì una soluzione al permanere della mancanza di talenti nel campo della cybersecurity (circa 4 milioni a livello globale, secondo l’International Information System Security Certification Consortium), un problema significativo per la maggior parte delle organizzazioni. Questo modello distribuito agevola il processo di reclutamento, consentendo di acquisire talenti ovunque siano disponibili. Ciò si traduce nell’espansione del pool di competenze, superando i vincoli geografici e mettendo l’accento sulle competenze piuttosto che su una gerarchia centralizzata fine a sé stessa.

Leggi anche:  L’evoluzione dello Zero Trust secondo Veeam

ESTERNALIZZATI E IN CLOUD

Oltre all’in-house CSOC, anche distribuito, la modalità di fornitura dei servizi di sicurezza più diffusa è quella del CSOC appaltato ad aziende specializzate che offrono servizi di sicurezza avanzati gestiti. L’organizzazione esternalizza le proprie esigenze di sicurezza informatica a un provider che gestisce il monitoraggio e la risposta agli incidenti, consentendogli di sfruttare risorse di sicurezza avanzate. Da questo punto di vista i progressi tecnologici incidono sulle modalità con cui si accede o si erogano in proprio i servizi tipici del CSOC. Molte tecnologie di sicurezza infatti sono oggi disponibili anche in cloud e rappresentano l’espressione del consolidamento delle capacità di monitoraggio centralizzato in ambiente cloud da parte di aziende e organizzazioni. Un CSOC in cloud comprende l’hosting dell’infrastruttura o della piattaforma centralizzata di raccolta log e gli strumenti e le tecnologie che saranno utilizzati per aggregare, raccogliere, confrontare, curare, elaborare e analizzare log, eventi e intelligence nel cloud. La scelta di “appoggiare” la tecnologia di sicurezza sul cloud, scegliendo quest’ultima come piattaforma tecnologica anche per fare sicurezza è in forte ascesa. Esistono diversi strumenti e tecnologie di monitoraggio basati su cloud che integrano gli strumenti SIEM. La loro diffusione in aree regionali omogenee e tra i maggiori cloud provider equivale alla possibilità di accedere a servizi di monitoraggio più rapidi e sebbene ancora dibattuto, più convenienti. Anche la disponibilità di versioni cloud del SIEM gioca un ruolo importante in quest’ottica.

Tutti i vendor SIEM più importanti (Splunk, ArcSight, ManageEngine, Log Analytics) infatti sono in grado di offrire versioni basate su cloud dei loro prodotti, la preintegrazione e l’integrazione con altri strumenti associati. Per esempio, la maggior parte delle soluzioni SIEM per il cloud possono essere preintegrati con strumenti di gestione delle identità e degli accessi, di gestione delle vulnerabilità, di threat intelligence e antimalware, consentendo ai CSOC di erogare i propri servizi più rapidamente. La natura flessibile e scalabile sia in termini di capacità elaborative sia dell’infrastruttura in un ambiente cloud “puro”, oltre al basso costo di ingresso, contribuisce a rendere l’offerta più ampia e competitiva. Soprattutto i servizi CSOC in cloud possono essere configurati ed entrare in produzione nel giro di pochi giorni, a differenza dei più tradizionali on-prem, per i quali la messa a punto può richiedere mesi. «È indubbio che in particolare il software as a Service, ha ridotto drasticamente i tempi di deployment di una soluzione.

Anche se non sempre con costi prevedibili nella fase iniziale – come mette in guardia Rotondo di CLUSIT. «Alcuni produttori di soluzioni, non molti purtroppo, offrono soluzioni equivalenti dal punto di vista funzionale, installabili sia nei propri data center, ad esempio in cloud privati, che in cloud pubblici. Meglio ancora se la soluzione può essere installata in cloud ibridi nei quali comporre la componente da installare sul cloud con quella da tenere nei propri data center. Un approccio che indubbiamente fornisce la massima flessibilità, offrendo al cliente soluzioni in linea con le sue aspettative».

SUPERARE LE INEFFICIENZE

Integrazione? La sfida è selezionare i casi d’uso qualificati di maggiore utilità. La creazione di un SOC efficiente richiede un investimento di tempo e impegno considerevole. Diversi fattori incidono su questa sfida, tra cui il numero di ambienti di hosting da monitorare, le dimensioni e la complessità dell’organizzazione, la qualità del monitoraggio necessario, la disponibilità di manodopera specializzata, la struttura organizzativa del progetto (interna, esterna, coinvolgimento di fornitori e partner), e i vincoli di approvvigionamento e budget. La considerazione attenta di tutti questi aspetti è essenziale per garantire il successo nella costruzione di un SOC robusto e adeguato alle esigenze specifiche. In questo quadro numerosi fattori contribuiscono alle inefficienze. In teoria, il SOC dovrebbe essere il collettore di tutti gli strumenti di sicurezza fisici e logici presenti in azienda. La pratica e l’esperienza dimostrano che non sempre funziona così. «I CSOC di moderna concezione sono in grado di connettersi con la maggior parte delle soluzioni e dei prodotti di sicurezza» – premette Rotondo di CLUSIT. «Tuttavia, integrare tutto potrebbe non essere la soluzione migliore in quanto genererebbe una quantità di allarmi di difficile gestione, e potenzialmente anche di scarsa utilità. La sfida, in questo momento, è selezionare i casi d’uso qualificati di maggiore utilità per l’organizzazione, sia situazioni che l’organizzazione già conosce, come i tentativi di accesso fraudolenti, sia la vastissima casistica di attacchi innovativi, mai osservati prima. Su questi ultimi AI e ML possono essere di grande aiuto». Naturalmente il rischio da evitare è quello di tirare troppo la coperta. In molti casi la percentuale delle risorse monitorate dal SOC è insufficiente, addirittura irrisoria. Secondo alcune rilevazioni, in alcune organizzazioni, meno del 5% del patrimonio dell’organizzazione viene monitorato. Anche la qualità dei servizi erogati deve essere all’altezza degli obiettivi. Evitando di fornire solo un monitoraggio superficiale della sicurezza, utilizzando regole SIEM “preconfezionate” o sfruttando un caso d’uso buono per tutte le stagioni. Inoltre la maggior parte dei SOC non dispone dei processi, delle procedure e delle istruzioni operative necessarie per gestire il servizio in modo efficiente. I processi per la gestione degli incidenti informatici e i manuali di gestione degli incidenti semplicemente mancano o non vengono aggiornati. La maggior parte dei SOC continua a soffrire di sottodimensionamenti di personale. Un problema che si colloca in un quadro più ampio di carenza globale di competenze nella sicurezza informatica e correlato al mantenimento di professionisti qualificati. Il problema – come osserva Battigaglia di VEM – influenza la capacità dei CSOC di bilanciare il crescente carico di lavoro con il mantenimento delle performance ai livelli di servizio richiesti. «In questo scenario, la parola d’ordine è efficientamento, ovvero assegnare priorità agli elementi che generano maggior valore nel processo, nell’ottimizzazione e, ultima in sequenza ma sempre più strategica, nell’automazione. Un approccio equilibrato richiede che l’assetto operativo non penalizzi la componente umana, elemento alla base della soddisfazione del cliente per qualunque servizio».

Leggi anche:  Microsoft avrebbe nascosto una vulnerabilità di Dall-E

Ultimo ma non meno importante, i CSOC scontano una mancanza di standardizzazione che ne compromette parzialmente l’efficacia. Inoltre, si riscontra una notevole variabilità nella percezione e nell’approccio tra settore privato e quello pubblico. Ed è esperienza comune che ciascuna organizzazione abbia una propria visione di ciò che dovrebbe fare un CSOC. «Non tutte le organizzazioni sono uguali» – spiega Chung di Netskope. «È difficile creare un modello e diffonderlo in ogni azienda. Anche se molti strumenti dispongono di avvisi o report predefiniti, è importante stratificare le policy di rilevamento una alla volta e continuare a monitorarle e ottimizzarle man mano che vengono acquisiti più dati. Ogni CSOC deve assumersi la responsabilità delle proprie esigenze e dei propri livelli di rischio per poter raggiungere gli obiettivi aziendali».

#NextGenSOC Costante riesame e aggiornamento delle conoscenze – Damian Chung #Netskope

Click To Tweet

COME SI MISURA L’EFFICIENZA

«Con l’evoluzione rapida del panorama della sicurezza informatica, i CSOC stanno affrontando sfide significative che mettono in discussione la loro efficacia e rilevanza nel contesto attuale» – sottolinea Delfino di Aubay Italia. «A lungo considerati una pietra angolare nella difesa cyber delle organizzazioni, l’obsolescenza sembra insinuarsi, portando la comunità della sicurezza informatica a esplorare nuove frontiere. La crescente complessità delle minacce e la rapidità dei cambi di scenario della sicurezza portano ad indicare l’AI come l’alleata per definizione in questi ambienti considerati talvolta dispendiosi e poco redditizi». Queste riflessioni portano naturalmente a una domanda essenziale: come possiamo valutare l’efficacia di un CSOC? Considerando che – come osserva Chung di Netskope – non possiamo basare questa valutazione unicamente sul numero di allarmi o incidenti, poiché non tutti sono equiparabili, Rotondo di CLUSIT suggerisce una misurazione attraverso almeno due dimensioni. In primo luogo, si può valutare l’efficacia del SOC in base alla frazione di incidenti che la soluzione è in grado di gestire e contenere autonomamente. Attualmente, questa percentuale è lontana dal raggiungere il 100%, ma soluzioni capaci di apprendere dalle decisioni degli analisti umani possono migliorare progressivamente questa metrica nel tempo. L’altro parametro significativo è il volume di conoscenze che rimane all’interno della soluzione, contribuendo a supportare gli analisti di sicurezza di fronte agli attacchi futuri. In questo contesto, Chung di Netskope sottolinea l’importanza di un costante riesame e aggiornamento delle conoscenze, evidenziando come questa pratica sia cruciale per un SOC efficiente e in continua evoluzione. «Affrontare cioè le attività note attraverso l’automazione per garantire la continuità delle operazioni in modo che le risorse umane possano essere destinate ad attività più complesse. L’utilizzo degli incidenti passati non solo nella propria organizzazione, ma anche a livello globale, può contribuire alla valutazione di un intero programma di sicurezza». Idealmente il CSOC dovrebbe evolvere per gestire la miriade di problemi di sicurezza, proteggendo al contempo l’organizzazione e utilizzando meno professionisti qualificati.

«La missione fondamentale resta quella di aiutare le aziende a gestire il rischio informatico» – afferma Ivan De Tomasi, country manager di WatchGuard Italia e Malta. «Quello che è cambiato però è la meccanica dell’operazione. Perciò la missione del moderno CSOC è di aprirsi all’automazione. La trasformazione deve consentire di identificare, studiare e risolvere gli incidenti di sicurezza più rapidamente, dando la possibilità ai team SecOps di fare di più con meno persone». La sfida – prosegue De Tomasi – è di passare a un modello di gestione in cloud per distribuire rapidamente le misure di protezione della sicurezza e gli aggiornamenti ai lavoratori da remoto, oltre che per gestire centralmente conformità, policy, governance e nuove architetture come lo zero-trust. «L’impiego di ML/AI per affrontare la correlazione, il triage e le indagini fornisce scalabilità, profondità e coerenza a livelli impensabili per gli analisti umani, aumentando l’efficienza del team della sicurezza».

#NextGenSOC La missione del CSOC è di aprirsi all’automazione AI-driven – Ivan De Tomasi #WatchGuard

Click To Tweet

Il CSOC rappresenta un importante investimento organizzativo guidato da esigenze di rilevamento, monitoraggio, risposta e ripristino dagli attacchi informatici e di conformità agli obblighi normativi. Detto questo costruire e mantenere un SOC efficiente resta una sfida impegnativa. Fattori quali l’espansione della superficie di attacco, l’adozione massiva del cloud, l’aumentato rischio geopolitico, la complessità della catena di fornitura e delle terze parti, l’espansione incontrollata degli strumenti di sicurezza e la carenza di talenti, la gravità degli attacchi su scala globale e – non ultimo – l’impegno dal punto di vista economico, contribuiscono a elevare il livello della sfida. Se questo è vero, le organizzazioni non possono sottrarsi dall’impegno di confrontare periodicamente la propria roadmap con l’evoluzione del CSOC affinché sia sempre in linea con le capacità assegnate e la maturità richiesta. Questo sia per poter valutare i risultati raggiunti che, soprattutto, per pianificarli meglio. Il CSOC non costituisce una soluzione universale. Deve essere adattato, per soddisfare casi d’uso aziendali e operativi unici. E non esiste un modello valido per tutti. Anche quando viene creato per una singola organizzazione, i requisiti delle diverse funzioni aziendali saranno diversi così come i rischi e gli aspetti di interesse. Di conseguenza, i casi d’uso devono essere adattati, personalizzati e pertinenti. Sebbene i processi interni del CSOC possano apparire lineari, il loro successo è intrinsecamente legato alla collaborazione di diversi attori, fornitori compresi. Motivare tutte le parti coinvolte a lavorare sinergicamente per raggiungere gli obiettivi prestabiliti rappresenta l’elemento cruciale per l’efficacia complessiva dell’ecosistema della sicurezza aziendale.

Guida alla sicurezza digitale. L’approccio smeup al Security Operation Center