5 motivi per cui i team SOC stanno faticando sempre di più
Una recente ricerca ESG rivela che secondo il 52% dei professionisti della sicurezza le operazioni di sicurezza sono più difficili oggi rispetto a due anni fa. In particolare, i team SOC (Centro Operativo di Sicurezza) indicano i cinque seguenti problemi:
- Un panorama delle minacce in rapida evoluzione e cambiamento: il 41% dei professionisti della sicurezza ha difficoltà a comprendere e contrastare le minacce moderne come ransomware o attacchi alla supply chain e quindi a integrare queste conoscenze in un programma completo di operazioni di sicurezza. La maggior parte reagisce alle minacce e agli indicatori di compromissione (IoC) piuttosto che studiare i cyber-avversari e pianificare in anticipo.
- Una superficie di attacco in crescita: questo problema è emerso con il 39% degli intervistati, ma le sfide della superficie di attacco non sono una sorpresa. Altre ricerche ESG indicano che la superficie di attacco sta crescendo a due terzi (67%) delle organizzazioni, guidata da connessioni IT di terze parti, supporto per i lavoratori remoti, aumento dell’utilizzo del cloud pubblico e adozione di applicazioni SaaS. Una superficie di attacco in crescita significa più lavoro, vulnerabilità e punti ciechi per i team SOC. Non c’è da stupirsi quindi che il 69% delle organizzazioni ammetta un incidente informatico proveniente da un asset sconosciuto, non gestito o mal gestito.
- Il volume e la complessità degli avvisi di sicurezza: abbiamo tutti sentito parlare di termini come “alert storms” e “alert fatigue”. Sulla base dei dati ESG, queste condizioni non sono solo hype di marketing, poiché secondo il 37% dei team SOC il volume e la complessità degli avvisi stanno rendendo più difficili le operazioni di sicurezza. E non è certo un problema difficile da comprendere. Immaginate di visualizzare, valutare, dare priorità e indagare su una raffica costante di avvisi di sicurezza amorfi da una varietà di diversi strumenti di rilevamento e capirete il perché di questo “stress” da sicurezza.
- Utilizzo del cloud pubblico: oltre alla semplice espansione della superficie di attacco, più di un terzo (34%) dei team SOC intervistati afferma che le operazioni di sicurezza sono più difficili come risultato diretto del crescente utilizzo del cloud pubblico. La protezione dei carichi di lavoro cloud è infatti resa difficile a causa della distribuzione multi-cloud, delle istanze cloud effimere e dell’uso da parte degli sviluppatori di nuovi servizi cloud con cui i team di sicurezza potrebbero non avere familiarità. Inseguire l’evoluzione del cloud e i relativi capricci degli sviluppatori di software è diventato un vero e proprio lavoro per i team SOC.
- Tenere il passo con le tecnologie di sicurezza: più della metà (54%) delle organizzazioni utilizza più di 26 diversi strumenti commerciali, proprietari o open source per le operazioni di sicurezza. L’onere di gestire e mantenere tutte queste tecnologie disparate può essere molto difficile. Questo è uno dei motivi per cui molte aziende stanno sostituendo gli strumenti di sicurezza on-site con alternative basate su cloud.
La crescente scalabilità complica le operazioni di sicurezza
Nell’analizzare questi dati, è facile vedere un tema comune tra queste diverse risposte: la scalabilità. Tutto sta crescendo tra minacce, IT, avvisi e strumenti di sicurezza. La ricerca illustra il fatto che non ci sono abbastanza persone, processi o tecnologie per tenere il passo con tali esigenze di scalabilità.
Considerate queste tendenze sovrapposte, uno dei fondamenti di un SOC moderno deve essere una scalabilità senza precedenti. Ovviamente, questo significa scalabilità tecnica (la capacità di raccogliere, elaborare, analizzare e archiviare enormi quantità di dati), ma la ricerca evidenzia anche una pressante necessità di scalare persone e processi. La modernizzazione del SOC deve essere progettata per rendere il team SOC più produttivo, in modo che possa scalare la quantità di lavoro che è in grado di svolgere. Scalare le persone significa tecnologia più intelligente, migliore formazione e processi strutturabili ripetibili.
La modernizzazione del SOC deve includere anche la reingegnerizzazione dei processi, in modo che i team SOC possano correggere i processi interrotti e automatizzare il maggior lavoro possibile. I CISO comprendono questi problemi e hanno già stanziato fondi per affrontarli: l’88% delle organizzazioni prevede infatti di aumentare la spesa per le operazioni di sicurezza nei prossimi 12-18 mesi.