Le principali sfide dell’integrazione degli strumenti di sicurezza
Le aziende implementano frequentemente nuovi strumenti e servizi di sicurezza per rispondere a esigenze e minacce. Un aspetto fondamentale è come integrare queste varie offerte, in molti casi fornite da fornitori diversi, nell’infrastruttura esistente per supportare una strategia di sicurezza coerente. Il passaggio al cloud ha reso l’integrazione della sicurezza in qualche modo più semplice, ma il processo può ancora rappresentare un grosso ostacolo per le organizzazioni che cercano di creare una protezione efficace contro le minacce più recenti. Ecco alcune delle sfide che potrebbero affrontare e come possono affrontarle efficacemente.
Troppi strumenti di sicurezza
Un problema comune di integrazione della sicurezza deriva da qualcosa che molte organizzazioni stanno facendo: distribuire troppi prodotti e servizi di sicurezza. “L’enorme volume di strumenti di sicurezza disparati e la relativa mancanza di interoperabilità nativa tra di loro sono tra le maggiori sfide che le operazioni di sicurezza informatica devono affrontare oggi” afferma Chris Meenan, vicepresidente della gestione dei prodotti presso IBM Security. “Ogni nuovo strumento di sicurezza deve essere integrato con dozzine di altri, creando un numero crescente di integrazioni personalizzate che devono essere gestite tra di loro, crescendo su una scala che è diventata irrealizzabile”.
Migliaia di strumenti di sicurezza informatica sono oggi sul mercato, “con un miscuglio di caratteristiche e capacità diverse”, afferma Kelly Bissell, amministratore delegato di Accenture Security. “Qualsiasi leader della sicurezza, indipendentemente dal proprio livello di esperienza, può facilmente essere sopraffatto dal tentativo di fare le scelte di sicurezza “giuste” per un’azienda”.
Il risultato è spesso un’infrastruttura di sicurezza aziendale con 50 o anche 100 strumenti diversi, tutti messi insieme, afferma Bissell. “Quando vengono introdotti nuovi strumenti che non possono comunicare con altre piattaforme o strumenti di sicurezza, diventa ancora più difficile ottenere una visione utile del vero panorama delle minacce”.
Le organizzazioni “devono razionalizzare o consolidare i loro strumenti di sicurezza informatica, selezionare alcuni fornitori principali e ridimensionarne altri per massimizzare il valore delle loro relazioni con i vendor principali. Ciò consentirà di risparmiare sui costi di licenza e integrazione”.
Mancanza di interoperabilità tra gli strumenti di sicurezza
Molti strumenti di sicurezza oggi disponibili utilizzano interfacce e linguaggi di scambio dati proprietari. Sebbene molti ora offrano API (Application Programming Interface) aperte, “queste non sono necessariamente basate sugli stessi standard e quindi è ancora necessario un codice personalizzato specifico per integrare il prodotto A con il prodotto B”. Inoltre, il linguaggio per lo scambio di dati non è standardizzato.”
Sono in corso progetti tra più comunità di sicurezza per affrontare questo problema dell’interoperabilità, che si concentrano sullo sviluppo di modelli di dati più comuni, standard aperti e strumenti open source che possono essere utilizzati tra fornitori e set di strumenti diversi. “Facendo affidamento su API comuni e modelli di dati comuni, i team di sicurezza saranno in grado di sostituire più facilmente uno strumento con un altro, semplificando in definitiva l’aggiunta di nuovi strumenti e riducendo il lock-in del fornitore”, afferma Meenan.
Un buon esempio di dove questo tipo di lavoro di comunità sta mettendo radici è nell’Open Cybersecurity Alliance (OCA), un gruppo intersettoriale di fornitori, consumatori e organizzazioni non profit sotto una governance aperta che si dedica a sfruttare open source e standard aperti per migliorare l’interoperabilità della sicurezza informatica.
“Organizzazioni come la Open Cybersecurity Alliance mirano a riunire attori provenienti da tutta la più ampia comunità di sicurezza per aiutare a definire questi standard in modo aperto e trasparente, con sviluppo, revisione e feedback dalla comunità”, afferma Meenan. “Le aziende possono iniziare a guardare oggi verso software basato su strumenti e standard open source, al fine di ridurre l’onere delle integrazioni di sicurezza, sia ora che in futuro”.
Funzionalità interrotta
Spesso gli strumenti di sicurezza richiedono un certo accesso ai sistemi o al traffico di rete per essere eseguiti e l’aggiunta di nuovi strumenti potrebbe causare l’interruzione del funzionamento degli strumenti esistenti, afferma Eric Cole, fondatore e CEO di Secure Anchor Consulting ed esperto di sicurezza informatica.
“Ciò si basa sulla premessa che quando vengono installati nuovi strumenti, spesso questi apportano modifiche come la rimozione o il caricamento di file, driver e chiavi di registro, e tali configurazioni sono spesso utilizzate da strumenti installati in precedenza”, afferma Cole. “Questo problema è principalmente prevalente con gli strumenti o gli strumenti di sicurezza degli endpoint che devono essere installati direttamente su un sistema”.
Con dispositivi o appliance di rete, questo è un problema minore, afferma Cole. La soluzione è con strumenti basati su host o server che devono essere installati localmente, le organizzazioni dovrebbero attenersi a una suite o uno strumento di un unico fornitore per ridurre al minimo la contaminazione tra fornitori.
Visibilità della rete limitata
Gli strumenti di sicurezza più recenti si concentrano sulla creazione di modelli comportamentali per comprendere meglio il traffico e il comportamento della rete e sull’utilizzo di queste informazioni per rilevare attività anomale.
“Affinché questi modelli siano efficaci, devono esaminare e analizzare tutto il traffico di rete”, afferma Cole. “Se gli strumenti vedono solo un sottoinsieme, i modelli non saranno accurati o efficaci. Questo è principalmente un problema con i dispositivi e le apparecchiature di rete, ma se un nuovo dispositivo di rete viene installato prima della tecnologia esistente potrebbe bloccare il traffico e limitare la visibilità dei sistemi esistenti. Se il nuovo dispositivo viene installato dietro i dispositivi esistenti, avrebbe informazioni limitate e non sarebbe efficace”.
Aumento dei falsi allarmi
I nuovi strumenti di sicurezza tendono anche ad essere più focalizzati sul dichiarare di poter rilevare gli attacchi invece di concentrarsi sulla fornitura di informazioni accurate e affidabili. “Pertanto, quando installate più strumenti, aumentano gli avvisi e aumenta il numero complessivo di falsi positivi. La soluzione consiste nell’utilizzare un sistema di gestione degli incidenti e degli eventi di sicurezza, correlare i dati provenienti da più origini e avvisare solo in caso di attività che allertano in modo coerente analizzando più strumenti”.
Mancata definizione delle aspettative
I fornitori di sicurezza potrebbero occasionalmente esaltare in modo eccessivo le capacità di integrazione dei loro prodotti o non menzionare tutti i prerequisiti aggiuntivi che devono essere in atto per ottenere i risultati dichiarati, afferma Brian Wrozek, CISO presso la società di sicurezza Optiv. Questo, a sua volta, può portare i responsabili della sicurezza o i team a stabilire aspettative per gli utenti aziendali che non possono essere soddisfatte.
“I business leader hanno più familiarità con le applicazioni business rispetto alle applicazioni di sicurezza”, afferma Wrozek. Sanno cosa ottengono con un’applicazione come Salesforce o Zoom, ma non con uno strumento CASB (Cloud Access Security Broker). “Pertanto, è imperativo spiegare tutti i limiti della soluzione piuttosto che concentrarsi esclusivamente sui vantaggi”.
Mancanza di skill
Chiunque operi nella sicurezza a livello di leadership sa quanto sia grave il problema del divario di competenze per le organizzazioni. La domanda è semplicemente molto più grande dell’offerta praticamente per ogni aspetto della sicurezza. Ciò include le competenze necessarie per integrare vari strumenti e servizi di sicurezza.
La mancanza di personale qualificato in grado di gestire l’integrazione degli strumenti di sicurezza e determinare quali azioni devono essere intraprese è oggi una sfida chiave, afferma Bissell. “Più strumenti si hanno, più chiesti richiedono tempo e competenza e ciò spesso crea un significativo consumo di risorse”.