Quali sfide per i SOC nei prossimi mesi?

Il SOC (Security Operations Center) è il team di sicurezza centralizzato che distribuisce gli strumenti necessari per monitorare con continuità e migliorare l'approccio alla protezione dell'azienda, prevenendo, rilevando, analizzando e rispondendo nel contempo agli alert di sicurezza. Si potrebbe dire che il SOC funge da centrale di comando della sicurezza di un'azienda, occupandosi dell'infrastruttura IT nella sua globalità, inclusi reti, dispositivi e dati, sia all'interno del perimetro aziendale che all'esterno.

Negli ultimi anni, i SOC hanno giocato un ruolo cruciale dato che le aziende si sono trovate ad affrontare maggiori rischi di sicurezza in termini di volume e sofisticazione degli attacchi informatici, che ora sono in grado di aggirare anche i controlli automatizzati più avanzati. La complessità dell'infrastruttura da proteggere, la superficie di attacco che va ampliandosi esponenzialmente, il volume degli alert di sicurezza da gestire e la carenza di personale qualificato sono fattori con i quali le aziende si devono confrontare. Tutto ciò influisce negativamente sulla sicurezza e Gartner ha previsto che, entro il 2025, i criminali informatici avranno acquisito la capacità di danneggiare infrastrutture critiche, al punto da mettere in pericolo la vita umana.

Questo implica che i SOC devono essere sempre un passo avanti rispetto alle minacce sofisticate e sconosciute. Il loro compito è rilevare e stabilire correlazioni tra comportamenti anomali per identificare con chiarezza un incidente di sicurezza e rispondere il più presto possibile. Tuttavia non tutti gli strumenti e le soluzioni di sicurezza forniscono un supporto sufficiente. Nonostante siano progettati per rilevare e avvertire, se si limitano a generare una valanga di alert, gli operatori dovranno comunque stabilire se siano o meno fondati. Questo provoca uno stress da sovraccarico che, oltre ad avere costi di gestione, può anche far sì che qualche minaccia passi inosservata o dare luogo a errori diagnostici. Nel campo della sicurezza informatica, si riscontra anche una carenza di figure professionali qualificate e di training.

Per far fronte a queste sfide, è essenziale che i SOC abbiano a disposizione strumenti di sicurezza informatica che permettano loro di raggiungere la massima efficienza possibile. Per quanto le soluzioni di sicurezza tradizionali siano necessarie, da sole non sono sufficienti. In primo luogo perché gli alert sono basati sulle minacce note, quindi i processi sospetti non inclusi nei registri esistenti potrebbero non essere presi in considerazione e minacce sconosciute non verrebbero rilevate. Secondariamente, adottano un approccio reattivo in relazione a questi registri e non eseguono ricerche indipendenti per identificare altri potenziali indicatori di attacco che permetterebbero di prevedere un incidente.

Per questo motivo, a complemento delle soluzioni di sicurezza informatica esistenti, i SOC devono aggiungere strumenti avanzati, basati su un approccio proattivo, dotati di funzioni di ricerca costante e automatizzata delle minacce sia note che sconosciute, che implementino il threat hunting e utilizzino schemi di rilevamento e risposta proattivi nelle prime fasi dell'attacco.

Nel contesto attuale, la proposta di valore di WatchGuard per il SOC prevede una combinazione fra soluzioni di sicurezza avanzata e servizi di gestione proattivi per ricercare, rilevare e rispondere adeguatamente alle minacce sfuggite ad altri sistemi di protezione su computer, server, in ambienti cloud o su dispositivi mobili. Lo stress da sovraccarico, l'espansione della superficie esposta agli attacchi, la complessità dello scenario delle minacce e i problemi imposti dalla carenza di personale con competenze specifiche possono essere affrontati ottimizzando i processi di sicurezza dell'azienda.