Il volume di allarmi di sicurezza appesantisce le imprese
Il 70% delle imprese fatica per rimanere sempre aggiornato con il gran numero di allarmi di sicurezza.
Kaspersky ed ESG hanno collaborato ad un nuovo studio: “Soc Modernization and The Role of XDR”, dove si conclude che il 70% delle imprese che hanno partecipato al sondaggio dichiara di riscontrare difficoltà a mantenersi aggiornate con gli allarmi generati dagli strumenti di sicurezza. Questo indica quindi una mancanza di risorse in una serie di compiti strategici e indirizza l’impresa verso un processo di automatizzazione e di esternalizzazione dei processi.
Il problema legato con la gestione di mansioni è uno degli aspetti rivelati dallo studio “2020 State of SecOps and Automation””, a cura di Dimensional Research, dove si ribadisce che l’83% del personale di sicurezza informatica manifesta una stanchezza dovuta dal costante stato di allerta.
Secondo lo studio di ESG, l’ampia varietà di allerte appesantisce il lavoro di esperti SOC quando questi devono concentrarsi su compiti più importanti e complessi. Anche se il problema non è direttamente collegato con una mancanza di personale, è vero che un vantaggio potrebbe essere l’automatizzazione dei processi e l’impiego di servizi esterni.
Yuliya Andreeva, Senior Product Manager per Kaspersky, commenta: “Gli esperti SOC si occupano di “spegnere incendi” invece di scovare proattivamente minacce complesse e che potrebbero eludere l’infrastruttura. Ridurre il numero di allarmi, automatizzandone il consolidamento e la correlazione con le catene d’incidenza, e accorciare il tempo di risposta dovrebbero diventare mansioni prioritarie per migliorare l’efficienza del SOC nelle imprese. Per raggiungere questo obiettivo, è possibile fare affidamento su soluzioni di automatizzazione e su specifici servizi esterni”.
Kaspersky raccomanda di seguire questi consigli per evitare il lavoro del SOC ed evitare l’affaticamento da allerte:
- Organizzare turni di lavori in SOC per evitare il carico eccessivo di lavoro per il personale e assicurare che tutti i compiti chiave siano distribuiti in forma equa tra il team: monitoraggio, ricerca, architettura IT e ingegneria, amministrazione e gestione SOC in generale.
- Sovraccaricare il proprio organico con compiti rutinari può portare al logoramento degli esperti SOC. Alcune migliori prassi, come rotazioni e trasferimenti interni, possono aiutare a prevenirlo.
- Utilizzare servizi intelligenti nei confronti di quelle minacce per cui sia possibile l’integrazione di intelligenza leggibile da macchine per i controlli di sicurezza esistenti, come un sistema SIEM, per automatizzare il processo iniziale di triage e di generare sufficiente contesto per decidere si l’allarme debba essere oggetto di immediato controllo.
- Per aiutare a liberare i SOC dai compiti di allerta di triage rutinario, utilizzare il rilevamento programmato e un servizio di risposta, come il Kaspersky Managed Detention and Response. Questo servizio combina tecnologia di rilevamento basate sull’IA con comprovata esperienza nella ricerca di minacce e risposta a incidenti da parte di unità professioniste, tra cui il Kaspersky Global Research & Analysis Team (GReAT).