A cura di Zeki Turedi, Field CTO, EMEA, CrowdStrike
I cyber avversari pongono continuamente minacce nuove e altamente sofisticate che si evolvono sfidando le capacità delle soluzioni di sicurezza legacy – cosa che i responsabili delle decisioni IT non possono permettersi di ignorare. Gli attacchi moderni richiedono soluzioni avanzate, eppure gli strumenti tradizionali a disposizione dei team dei Security Operations Center (SOC) sono sempre meno all’altezza di soddisfare queste esigenze.
Questa realtà sottolinea l’urgente necessità di adattare e rendere a prova di futuro gli strumenti legacy di gestione delle informazioni e degli eventi di sicurezza (SIEM). Sfruttando le ultime tecnologie, i team SOC possono migliorare e ottimizzare le loro operazioni. Tuttavia, una tale trasformazione richiede tempo – il che, in definitiva, avvantaggia gli attori delle minacce.
I decision-maker in materia di sicurezza devono riconoscere le crescenti capacità degli avversari odierni e dare priorità alla modernizzazione dei SOC delle loro organizzazioni. Avviare questa necessaria transizione è il primo passo per garantire l’integrità delle difese organizzative, nel 2025 e oltre.
I team SOC vengono lasciati indietro
Gli avversari odierni possono infiltrare le organizzazioni a velocità senza precedenti: il più veloce breakout di eCrime registrato nel 2024 è stato di appena 51 secondi. Ma non è solo la velocità a rendere le minacce moderne più pericolose. Gli attaccanti stanno diventando più furtivi e sempre più fantasiosi nei loro metodi. La cruda realtà è che, man mano che gli avversari evolvono, i team SOC rischiano di essere lasciati indietro.
A frenare i team di sicurezza sono i SIEM (Security Information and Event Management) legacy, penalizzati da scarsa scalabilità e lentezza nelle indagini di sicurezza, ancora manuali. Queste soluzioni obsolete diminuiscono l’efficacia del SOC inondando gli analisti con dati eccessivi, irrilevanti o duplicati, rendendo quasi impossibile filtrare le informazioni utili e rispondere efficacemente alle minacce.
Ulteriore fattore sfidante per i team SOC è l’aumento esponenziale dei volumi di dati. I SIEM legacy, con i loro modelli di fatturazione obsoleti calcolati in base al volume di dati in ingresso, costringono i team di sicurezza a un difficile compromesso: dare priorità al budget o alla sicurezza. Questo vincolo economico limita la loro capacità di registrare e conservare dati critici, creando punti ciechi di sicurezza che gli avversari possono sfruttare.
Le conseguenze di queste sfide sono di vasta portata. Lacune nella visibilità e tempi di risposta lenti rendono le organizzazioni vulnerabili a violazioni e interruzioni operative. Nel frattempo, il costo per i team SOC diventa rilevante. L’alarm fatigue e il burnout degli analisti sono in aumento, e ciò porta a un maggiore turnover del personale e a una ridotta efficienza operativa.
Un approccio connesso alle operazioni di sicurezza moderne
Se i team SOC devono saper tenere il passo con gli avversari, hanno bisogno oggi di strumenti capaci di supportare la velocità, la scala e l’intelligenza delle minacce moderne, non di soluzioni obsolete non all’altezza di rilevare e rispondere efficacemente. La risposta è un SIEM di nuova generazione che adotti un approccio connesso alle operazioni di sicurezza, convergendo dati, AI e automazione del flusso di lavoro in una piattaforma di cybersecurity unificata.
I SIEM di nuova generazione rispondono a molte delle sfide proprie dei SOC odierni, in particolare per quanto concerne l’acquisizione e archiviazione dei dati, integrando i dati di sicurezza critici fin dall’inizio come parte di una piattaforma di sicurezza unificata. In questo modo i team di sicurezza non hanno più bisogno di dedicare innumerevoli cicli all’onboarding dei dati, potendosi dedicare a rendere operativi immediatamente gli insight sulla sicurezza.
Se i dati sono il cuore del SIEM, allora il contenuto di rilevamento è il cervello. Potendo contare su rilevamenti basati sull’AI, i SIEM di nuova generazione sono più intelligenti delle loro controparti legacy, arricchendo i dati e correlandoli con una threat intelligence completa e con una telemetria di sicurezza da endpoint, identità, workload e altro ancora. Mettendo i dati in un contesto di rischio e sicurezza, gli analisti ricevono avvisi più puntuali, precisi e più utilizzabili, eliminando gli infiniti dati irrilevanti o i falsi positivi, che affliggono i SIEM tradizionali.
Sbloccare tutto il potere dei team SOC
I team SOC stanno già raccogliendo i benefici dati dalle operazioni di sicurezza ottimizzate adottando tecnologie moderne come i SIEM di nuova generazione. Questi progressi aiutano i professionisti della sicurezza a ridurre il “rumore digitale” e i falsi positivi, e ad accelerare le indagini, portando a un rilevamento delle minacce più rapido e preciso.
All’interno di tutto il SOC, chi lavora con i SIEM di nuova generazione sperimenta significativi vantaggi in termini di efficienza. Gli analisti della sicurezza possono sfruttare flussi di lavoro automatizzati per ottimizzare la risposta agli incidenti e analizzare le minacce a velocità senza precedenti. Nel frattempo, con velocità di ricerca più rapide rispetto ai SIEM legacy, i threat hunter possono cercare avversari e incidenti più velocemente, e ciò consente loro di scoprire proattivamente le minacce prima che si aggravino.
A differenza dei SIEM tradizionali, che si basano su processi manuali e regole statiche, l’approccio AI-native dei SIEM di nuova generazione si adatta continuamente ai modelli di minaccia in evoluzione, scoprendo attacchi sofisticati che altrimenti potrebbero rimanere inosservati. L’integrazione di un SIEM di nuova generazione consente ai team di sicurezza di bloccare gli avversari a velocità ineguagliabili, riducendo contemporaneamente i costi complessivi del SOC.
Oltre all’efficienza operativa, l’implementazione di queste tecnologie ha dimostrato di ridurre significativamente i costi di sicurezza, in particolare l’ingestione dei dati (data ingest) – fattore cruciale poiché molti team SOC operano con budget ristretti e personale limitato. Abbracciando i SIEM di nuova generazione, i SOC possono massimizzare i risultati con risorse limitate, rafforzando la sicurezza senza aumentare il carico operativo.
Trasformazione del SOC: un imperativo non negoziabile
Man mano che gli attaccanti diventano più veloci e impiegano tattiche sempre più sofisticate, inclusi attacchi “malware-free” e basati sull’identità, gli strumenti di sicurezza frammentati stanno diventando un punto debole. Tali sistemi disgiunti creano punti ciechi e sprecano tempo prezioso, un lusso che gli analisti SOC non possono permettersi di fronte alle minacce moderne.
Per tenere il passo, i team SOC devono adottare soluzioni più agili e integrate che migliorino l’efficienza e accelerino la risposta. Sebbene la transizione a un’architettura di sicurezza moderna richieda tempo, i benefici superano di gran lunga lo sforzo. Andando avanti, adottare un approccio SOC moderno e basato sull’AI sarà essenziale per rimanere al passo con le minacce in evoluzione e garantire la resilienza operativa.
