L’importanza di un MSSP certificato: la sola tecnologia nella cyber security non basta
Nell’era digitale, la sicurezza informatica è diventata una priorità assoluta per ogni azienda: da uno studio commissionato…
Interessato alle soluzioni di sicurezza di Axitea?
Redazione Axitea
Un’azienda che affida la propria protezione cyber a una società specializzata di servizi gestiti deve verificare che quest’ultima disponga di un Security Operation Center (SOC) dotato di infrastrutture idonee ad affrontare le ultime sfide poste dalle minacce informatiche.
Le più grandi sfide che un SOC deve affrontare oggi sono l’aumento degli incidenti e la gestione & minimizzazione dei falsi positivi: la prima sfida è dovuta al complessificarsi delle tecnologie di sicurezza poste a difesa dei differenti vettori di attacco come l’endpoint, l’esfiltrazione dei dati, la protezione perimetrale, la protezione DNS ecc., mentre la seconda è una sfida nel migliorare sempre di più le metriche di rilevamento di un attacco.
Le aziende dovrebbero dunque affidarsi a professionisti di sicurezza che siano continua ricerca di strumenti che possano migliorare la gestione scalabile degli eventi, misurare la qualità dei servizi e correlare eventi che provengono dalle diverse tecnologie dei propri clienti. Oggi le piattaforme SOAR (Security Orchestration Automation and Response) sono fondamentali per un SOC per raggiungere questi scopi e offrire servizi di sicurezza gestita di qualità. Vediamo insieme perché.
La piattaforma SOAR permette di integrare tecnologie su cui i propri clienti hanno già investito ricerca e licenze e abilita l’orchestrazione di più attori in un unico processo di gestione degli incidenti informatici, che rimane il concetto chiave al quale un servizio gestito deve far fronte.
Con l’evoluzione dell’industria cyber, infatti, diverse organizzazioni hanno adottato tecnologie siloed di protezione degli asset: ogni tool presenta interfacce di gestione e metriche differenti, difficili da far interfacciare tra loro.
Nelle prime fasi di un incidente, la risposta è critica e un processo manuale non può competere con l’automazione. Confermare con velocità un attacco, identificando utenti e dispositivi affetti permette di minimizzare o contenere gli impatti dell’attacco.
Servizi gestiti di cyber security come quelli di Axitea aggiungono il concetto di co-design della risposta agli incidenti attraverso flussi di automazione che contattano le tecnologie di sicurezza e gli stakeholder definiti nel minor tempo possibile.
La più grande risorsa all’interno di un SOC sono gli analisti che monitorano 24/7 gli eventi per definire i falsi positivi dai veri e propri incidenti. Hanno uno skillset differente in base all’esperienza e potrebbero gestire un evento secondo differenti punti di vista.
La tecnologia SOAR aiuta a definire ‘playbook’ di gestione dei flussi di risposta in seguito ai particolari vettori di attacco. In questo modo, gli analisti sono guidati nell’investigazione della minaccia con un processo standardizzato ed esportato ai clienti.
Si amplia ulteriormente il processo classico di gestione di incidenti in modalità MSSP (Managed Security Service Provider), con la possibilità di richiedere informazioni ai riferimenti coinvolti e a favorire la collaborazione in War Room dedicate alla risoluzione dell’anomalia riscontrata.
Il concetto di Threat Intelligence si basa sull’acquisizione di indicatori che possono attribuire il nome di un file o di un IP o di un qualsiasi artefatto relativo ad un incidente, all’arricchimento degli indicatori con fonti di terze parti e alla possibilità di aggregarli per condividerli esternamente.
Con la tecnologia SOAR si è in grado di arricchire incidenti in modo da portare le giuste evidenze agli analisti, eseguire double-check per validare rilevamenti che si basano su tecnologie dei clienti e per poter collaborare con la community cyber esportando le minacce analizzate.
Durante l’investigazione è necessario controllare una fonte su più ambienti e dover ricercare stringhe di dati molto complesse, attività che se effettuata manualmente è causa di errori e rallentamenti nella risposta agli incidenti.
La piattaforma di automazione solleva dall’incombenza di dover eseguire manualmente un task ripetitivo come quello di verifica di un analista all’interno di diversi database delle minacce: ciò consente di minimizzare errori in fasi cruciali di investigazione degli eventi per portare le evidenze corrette e comprovate da più fonti.
Flussi di risposta alle minacce, metriche di tempi di presa in carico e risoluzione di un incidente, scalabilità e automazione sono elementi utili per valutare la qualità dei servizi che con una piattaforma SOAR vengono esportati ai clienti attraverso report automatizzati ed integrati.
Interessato alle soluzioni di sicurezza di Axitea?
Nell’era digitale, la sicurezza informatica è diventata una priorità assoluta per ogni azienda: da uno studio commissionato…
Nel contesto industriale moderno, la convergenza tra Information Technology (IT) e Operational Technology (OT) sta trasformando le…
La sicurezza aziendale non è un costo, ma un investimento strategico. Ogni imprenditore desidera proteggere la propria…
Immagina l’azienda come un castello medievale: le mura, le torri e il fossato erano le prime linee…