Una sicurezza in grado di andare oltre la singola impresa: come intelligenza artificiale e machine learning rivoluzionano il ruolo dei SOC in outsourcing secondo Axitea
In uno scenario caratterizzato da minacce in continua evoluzione, le imprese sono chiamate a dotarsi di strumenti di prevenzione, monitoraggio e risposta sufficientemente flessibili per affrontare qualsiasi tipo di cambiamento e intervenire a tutela del patrimonio aziendale e della continuità di business. Un valido supporto arriva dai Security Operations Center (SOC), con la loro capacità di monitoraggio continuo.
Non tutte le imprese, però, hanno a disposizione risorse economiche e di personale sufficienti a inserire nella propria organizzazione un SOC interno: il report Gartner “SOC Model Guide” stima, infatti, che la scarsità di risorse impedirà a 1 azienda su 3 di costruire un modello SOC efficace entro il 2025. Inoltre, il crescente aumento di soluzioni di sicurezza a difesa delle infrastrutture sta producendo inevitabilmente un numero esponenziale di falsi positivi ai quali i team di sicurezza, laddove presenti, non riescono a dare seguito.
Sebbene siano generalmente conosciuti per la gestione di allarmi relativi a minacce informatiche (attacchi hacker) i SOC dovrebbero coprire una varietà più ampia di segnalazioni. Questa flessibilità è al centro dell’attenzione dei Security Manager, e sempre Gartner stima che il 90% delle organizzazioni adotterà in qualche misura un modello SOC ibrido, arrivando ad esternalizzare almeno metà delle operazioni nei prossimi 3 anni. Il lavoro di un SOC che offre servizi gestiti è proprio quello di togliere ai team di sicurezza aziendali l’onere del monitoraggio e aiutare nel contenimento e risposta ad eventuali attività che si rivelano non autorizzate.
Di conseguenza, il SOC ideale deve adottare metodologie di gestione degli incidenti in modo scalabile e automatizzato.
Le caratteristiche che dovrebbe avere un SOC in outsourcing
Le tipologie di allarme gestite dai SOC
I SOC sono l’alleato principale nella gestione degli allarmi cyber, legati a possibili minacce di matrice informatica, quali intrusioni nella rete aziendale, sottrazione di dati, interruzioni dei servizi di networking e accesso ai dati.
In secondo luogo, i SOC consentono di gestire gli allarmi ambientali, quegli avvisi, cioè, che identificano variazioni impreviste all’ambiente in cui si trovano gli impianti (ad esempio, fumo e calore, presenza di monossido di carbonio, rischio allagamento) e consentono di intervenire per mettere al sicuro sia gli asset aziendali che eventuali dipendenti presenti in loco.
Infine, i SOC consentono di gestire anche allarmi di rete, relativi a interruzioni e danneggiamenti agli impianti, e personali, come l’allarme “SOS Uomo a terra”, generato da dispositivi di personal tracking, che segnalano la necessità di intervenire per prestare soccorso in caso di malore o infortunio, cosa quanto mai critica nel caso di lavoratori remoti o comunque di persone che prestano la propria opera in modo individuale.
L’efficienza del SOC è data dalla sua scalabilità
Un SOC è tanto più efficace quanto più riesce a individuare e mettere in relazione tra loro gli ambiti a rischio: se un allarme specifico presenta un certo livello di criticità, questo livello può aumentare in modo esponenziale se abbinato a una segnalazione concorrente.
Per poter scalare in modo efficiente la gestione degli incidenti occorre lavorare su tecnologie e processi: le tecnologie da mettere in campo devono potersi integrare attraverso API a sistemi di orchestrazione e gestione per una comunicazione efficace verso gli analisti, consentendo loro di visionare gli eventi in una modalità standard, attraverso un layout di gestione semplice, indipendentemente dalle piattaforme utilizzate per il monitoraggio di ciascun tipo di incidente (EDR, SIEM, XDR, eccetera). Dal punto di vista dei processi, invece, è fondamentale prevedere risorse dedicate all’ottimizzazione delle regole di correlazione.
Il contributo di AI e ML a supporto degli analisti
Con un panorama così vasto di fonti di pericolo, un ruolo fondamentale lo giocano tecnologie innovative come intelligenza artificiale e deep learning per l’automazione dei processi.
Questi processi di “whitelisting” ed “enrichment” delle piattaforme sono infatti aiutati da algoritmi di intelligenza artificiale e machine learning che intervengono sia in fase di clusterizzazione di un evento e che nella sua categorizzazione tra minaccia reale o falso positivo. Contestualizzando i dati relativi agli eventi di sicurezza, AI e ML aiutano a stabilire il livello di affidabilità degli eventi di sicurezza per il futuro, raccomandando agli analisti le azioni da intraprendere per gestire gli incidenti. Ad esempio, se un evento di un certo tipo ha una confidenza minore rispetto ad altri della stessa severità, nel momento in cui si verifica nuovamente gli analisti avranno subito più chiare le priorità di intervento e le risorse da mettere in campo.
Inoltre, tecnologie con motori di clustering degli eventi consentono di prioritizzare le analisi dove gli eventi sono concentrati in un numero maggiore. Infine, per quanto riguarda l’ambito cyber, attraverso la mappatura di ogni evento in nomenclatura MITRE ATT&CK, possiamo capire se la catena di attacco sta proseguendo in una possibile effettiva minaccia.
Il ruolo del SOC contribuisce a migliorare la sicurezza di ogni impresa
Adottando un modello di SOC in outsourcing, in linea con gli obiettivi aziendali, la maturità dell’organizzazione, i processi e le competenze a disposizione, un’azienda può essere in grado di intervenire prontamente per gestire differenti fattori di rischio e contenere i danni e i costi di recupero.
Il risultato positivo però non si limita a questo: la componente di Machine Learning permette di aiutare tutte le imprese che utilizzano servizi SOC in modalità gestita, i cosiddetti SOC-as-a-Service, poiché il risultato dell’analisi di un incidente relativo a una impresa concorre a definire in modo più accurato l’algoritmo e a revisionare il Global Confidence Score di tutte le altre aziende che utilizzano il servizio, mettendo in evidenza possibili servizi e vulnerabilità su cui intervenire.
Affidandosi a SOC tecnologicamente avanzati, quindi, le imprese non solo proteggono sé stesse contro attacchi futuri, ma contribuiscono a innalzare le difese dell’intera rete imprenditoriale in cui operano.
