Polizze furto azienda: perché non basta un’assicurazione per proteggere il tuo business
La sicurezza aziendale non è un costo, ma un investimento strategico. Ogni imprenditore desidera proteggere la propria…
Interessato alle soluzioni di sicurezza di Axitea?
Redazione Axitea
Un’azienda che decide di affidare la propria sicurezza cyber a un Security Operation Center esterno deve conoscere tutti gli aspetti rilevanti per valutare l’efficienza e l’efficacia del sistema di gestione degli allarmi informatici, in modo da scegliere il miglior partner.
L’automazione dei processi è un aspetto cruciale per garantire tempestività di reazione e sicurezza delle infrastrutture informatiche di un’azienda, ancor di più per un Security Operation Center che è responsabile del monitoraggio e della protezione dei sistemi informativi contro minacce esterne e interne.
Sono numerosi gli incidenti giornalieri in entrata di un SOC Cyber, risultato dei processi di correlazione, normalizzazione e deduplica con cui un moderno Security Operation Center gestisce gli eventi.
L’automazione dei processi guidata dall’Intelligenza Artificiale deve essere uno dei principali criteri di valutazione nella scelta di un SOC perché ne migliora l’efficienza e l’accuratezza delle operazioni, riducendo al contempo i tempi di risposta alle minacce, con evidenti benefici per le aziende che usufruiscono di questi servizi.
In questo articolo ci concentreremo sull’arricchimento dei dati, la prima delle aree di miglioramento che l’automazione dei processi porta ai servizi gestiti di un Security Operation Center evoluto.
Un Security Operation Center maturo, per rispondere alle minacce informatiche di oggi, non può prescindere dal lavorare al miglioramento dei seguenti processi:
Un Security Operation Center che automatizza i processi dovrebbe trovarsi almeno al terzo livello della tabella sotto riportata, nella fase in cui tutti i playbook (workflow di gestione degli eventi) sono personalizzati secondo le esigenze dei singoli casi d’uso, la piattaforma di ticketing è perfettamente integrata nel flusso di notifica incidenti, il triage non è più effettuato da operatori ma completamente automatizzato e le metriche principali sono sotto monitoraggio automatico.
Partendo dalle basi, la prima fase che agevola il lavoro degli analisti di un Security Operation Center in termini di velocità, efficacia e visualizzazione è l’arricchimento dei dati: per Data Enrichment si intendono tutti i processi che approfondiscono gli indicatori di compromissione presenti in un incidente, per mostrare all’analista informazioni aggregate e utili per prendere decisioni manualmente o guidare la tecnologia ad eseguire azioni raccomandate.
L’arricchimento è a sua volta diviso per tipologia per:
Il Security Operation Center Axitea ha completato da tempo questo flusso di azioni, oggetto di forte attenzione perché riguarda tutti gli incidenti che vengono acquisiti quotidianamente e che non raggiungono tempi che superano i 2 minuti di esecuzione; l’efficacia di questo processo è propedeutico per i successivi step di automatizzazione dei processi, che andremo a descrivere nei prossimi articoli di approfondimento.
La visualizzazione per gli analisti del SOC Axitea è aggregata in modo da consentire la condivisione di note specifiche sull’analisi e il tag degli indicatori come evidenze, in modo che si possano generare report puntali a seguito di chiusura dell’incidente (anch’essi in modo automatico).
Scopri le soluzioni Managed Siem di Axitea.
Interessato alle soluzioni di sicurezza di Axitea?
La sicurezza aziendale non è un costo, ma un investimento strategico. Ogni imprenditore desidera proteggere la propria…
Immagina l’azienda come un castello medievale: le mura, le torri e il fossato erano le prime linee…
Nel panorama odierno della sicurezza informatica, è fondamentale per ogni organizzazione, indipendentemente dalle dimensioni, mantenere una postura…
In un mondo sempre più digitalizzato, dove le minacce informatiche si evolvono costantemente, la sicurezza dei dati…