Un paio di anni fa, una conversazione con un CISO mi ha molto colpito; il suo consiglio di amministrazione aveva deciso di aumentare il budget dedicato alla sicurezza senza una sua diretta sollecitazione. Invece di investire immediatamente in nuove tecnologie, questo CISO ha deciso di fare un passo indietro e avviare un’analisi del programma di sicurezza esistente. Quello che ha scoperto è stato allarmante: pressati da un numero eccessivo di strumenti, gli analisti del suo team eseguivano solo 45 minuti circa a testa di analisi grezza al giorno.
Si tratta di un problema comune: le reti e le infrastrutture cambiano così rapidamente da non essere in grado di aggiornare le strategie di sicurezza e, nel tentativo di tenere il passo, il rischio è di incorrere in un circolo vizioso di acquisto continuo di strumenti nel tentativo di affrontare le nuove sfide. Anche se potrebbe rappresentare la soluzione più rapida, l’espansione dello stack di sicurezza crea nuovi problemi in uno scenario in cui le aziende e il panorama delle minacce continuano a evolversi in modo imprevedibile.
Generalmente, un’azienda adotta dodici strumenti diversi di sicurezza; non sorprende quindi che i team siano sovraccaricati da stressanti alert, perdendo di vista le vere minacce che si infiltrano tra le maglie del sistema. Incrementare gli strumenti, quindi, non è una scelta né efficace, né sostenibile.
Trovare l’equilibrio giusto
Rimuovere alcuni strumenti di sicurezza può sembrare una scelta rischiosa che potrebbe introdurre ulteriori vulnerabilità nella rete, ma è questa stessa esitazione, in realtà, a minare l’efficacia dei programmi di sicurezza. L’eccesso di avvisi generati da una sovrabbondanza di tecnologie rende difficile agli analisti identificare e investigare le minacce reali.
Nel mondo sono più di un milione le posizioni aperte in ambito cyber security. Gli strumenti di sicurezza, infatti, possono generare da centinaia a migliaia di avvisi ogni giorno. Ma se un’azienda possiede solo due analisti esperti, come potrà indagare a fondo sulla natura di ogni potenziale minaccia?
Inoltre, se assumere professionisti esperti di sicurezza oggi rappresenta una sfida, tale soluzione potrebbe rivelarsi un palliativo tanto quanto l’aggiunta di nuovi strumenti senza l’implementazione delle giuste tecnologie e strategie di base.
Trovare il giusto equilibrio riducendo opportunamente la propria struttura di sicurezza non solo consente di risparmiare per poi reinvestire le risorse nel programma, ma anche di guadagnare tempo che gli analisti e i CISO possono utilizzare per altri compiti maggiormente strategici.
Semplificare per gestire meglio
Quando si valuta l’efficienza degli strumenti di sicurezza esistenti è fondamentale pensare ai tipi di minacce dalle quali la rete non è protetta. È possibile individuare le minacce interne, siano esse volontarie o accidentali? L’organizzazione è in grado di individuare e contenere ransomware machine-speed o minacce mai viste prima? È stato implementato uno strumento che rilevi gli attacchi furtivi che spesso risiedono subdolamente nelle reti? Con quale velocità è possibile rilevare una presenza estranea già operativa sulla rete?
Le difese perimetrali non sono state create pensando alle minacce già presenti come quelle interne. Una ricerca di Forrester ha rilevato che il 36% delle violazioni di sicurezza sono causate da azioni inconsapevoli dei dipendenti. Ritengo quindi che si dovrebbe prendere in esame almeno una tecnologia in grado di identificare e bloccare le minacce provenienti dall’interno.
Di recente, presso un nostro cliente, abbiamo individuato un attore esterno esperto che modificava i file di cronologia nel tentativo di nascondere le prove della propria presenza. Senza uno strumento di analisi delle attività della rete e di ricerca di anomalie in tempo reale, questo attacco sarebbe rimasto completamente inosservato. Le tecnologie in grado di fornire visibilità in tempo reale sull’attività degli utenti e dei dispositivi sono fondamentali per uno stack di sicurezza a 360°.
È un dato di fatto: le reti diventano sempre più connesse e complesse e l’intelligenza artificiale in questo contesto si rivelerà essenziale per difendere le molte componenti in evoluzione. Semplificando le reti estremamente articolate e rendendo il triage delle minacce più semplice per i team di sicurezza, l’IA faciliterà la gestione delle minacce e la difesa del business.
Cosa ci attende
In conclusione, è importante semplificare i programmi di sicurezza: strati su strati di strumenti perimetrali non serviranno a proteggere l’azienda da un attacco di spear-phishing o da un insider malintenzionato. È necessario concentrarsi sulla costruzione di basi solide, implementando una varietà di strumenti che consentano ai team di rilevare eventuali vulnerabilità o minacce emergenti.
Allo stesso tempo, è fondamentale rivolgere l’attenzione a una tecnologia che vada oltre il semplice riconoscimento delle minacce note.
In un’epoca in cui cercare di prevedere gli aggressori è spesso inutile, la tecnologia di IA offre le migliori possibilità di individuare e contrastare le minacce mai viste prima, o quelle che si sono infiltrate di nascosto nelle reti.
Senza strumenti in grado di rilevare gli attacchi del futuro, i professionisti della sicurezza si troveranno costantemente a lottare per rimanere al passo. È quindi giunto il momento di unire il concetto di “difesa in profondità” con la consapevolezza che quando si tratta di stack di sicurezza, ridurre può essere veramente la scelta che consente di migliorare.
Facebook Comments