combattere la stanchezza di allerta e costruire la resilienza

Poiché i rischi per la sicurezza aumentano in complessità e i dati si espandono in modo esponenziale, le strategie di sicurezza informatica devono essere semplificate e razionalizzate

In un mondo in cui la criminalità informatica si sta evolvendo a un ritmo rapido, il ruolo di un professionista della sicurezza informatica è caratterizzato da una vigilanza costante e da una posta in gioco elevata. Poiché il volume dei dati aumenta in modo esponenziale, la stragrande maggioranza (83%) dei professionisti della sicurezza informatica afferma che sta lottando per far fronte all’enorme volume di avvisi di sicurezza, con i dati IDC che rivelano che ciò può portare a minacce informatiche perse, nonché difficoltà di reclutamento e trattenere il personale in un settore che già soffre di carenze di competenze.

Le ripercussioni di un cybercriminale intraprendente che ottiene l’accesso a dati critici, inclusi dati medici e finanziari privati ​​o sistemi di controllo industriale, possono essere gravi, il che significa che il lavoro del team di sicurezza è spesso sotto pressione e difficile. Ciò è reso ancora più diffuso man mano che la migrazione al cloud aumenta e la forza lavoro mobile continua a dissolvere i confini della rete oltre i tradizionali confini dell’ufficio. Questo è il momento in cui la “stanchezza dell’allerta” può avere un ruolo dirompente da svolgere nel procedimento.

Combattere la stanchezza da allerta

L’affaticamento degli avvisi si riferisce all’assoluta sopraffazione che i professionisti della sicurezza informatica sperimentano quando si occupano di un volume elevato di avvisi ripetitivi e a bassa fedeltà, spesso esacerbati da strati di prodotti di sicurezza sovrapposti. Alcuni sono falsi positivi frustranti, ma molti sono veri positivi a basso rischio e quindi di scarsa importanza, ma che distraggono i professionisti da eventi e minacce autentici che possono giustificare un’azione immediata.

Un volume di allerta eccessivo aumenta naturalmente le possibilità che una minaccia seria sfugga alla rete e poiché gli attacchi continuano a crescere in modo sofisticato, il problema si intensificherà. IDC ha rilevato che i team di sicurezza informatica di organizzazioni di tutte le dimensioni stanno lottando con l’esaurimento degli avvisi, con fino al 30% degli avvisi ignorati o non oggetto di indagine.

In definitiva, poiché le organizzazioni gestiscono più dati che mai, non c’è mai stato un momento così importante per garantire che le operazioni di sicurezza informatica siano all’altezza. Al centro di tale obiettivo c’è la necessità che le difese di sicurezza siano semplificate e completamente integrate nei sistemi tecnologici esistenti, per fornire semplicità, intelligence e consolidamento, alleggerendo così la pressione su un team che deve affrontare livelli senza precedenti di sofisticatezza delle minacce anno dopo anno .

Semplificazione delle operazioni informatiche

Per affrontare l’affaticamento degli avvisi ma mantenere l’efficacia del rilevamento delle minacce, le organizzazioni devono cercare un approccio consolidato alle loro strategie di sicurezza informatica. L’obiettivo è essere in grado di vagliare l’elevato volume di avvisi e restringerli a una selezione più gestibile di incidenti ad alta fedeltà, aumentando così in modo significativo i tassi di rilevamento, riducendo al contempo i falsi positivi.

Di solito, il team di sicurezza informatica ha il compito di valutare questi avvisi, in cui è necessario prendere decisioni critiche sul fatto che valga la pena approfondire o meno ogni avviso, ma il giudizio umano non è sempre richiesto qui e l’automazione può avere un enorme impatto in termini di riduzione del rumore di avviso. L’infrastruttura di sicurezza di un’organizzazione può essere semplificata e ottimizzata enormemente, applicando tecniche di machine learning e intelligenza artificiale in queste situazioni, per automatizzare la definizione delle priorità degli avvisi e identificare i rischi più critici per rilevare ciò che l’occhio umano potrebbe non rilevare, oltre a fornire informazioni utili alla sicurezza team quando è necessaria un’ulteriore analisi contestuale.

Colleghi di lavoro seduti a una tavola rotonda per discutere di strategie di sicurezza informatica
© Rawpixelimages

Gli strumenti corretti completano le abilità

Sfruttare l’apprendimento automatico può integrare i punti di forza di un team di sicurezza informatica, riducendo significativamente il tempo che impiegano a esaminare i tipi ricorrenti di avvisi. Questi sono automatizzati e raggruppati, consentendo al team di concentrarsi maggiormente su avvisi univoci, analisi di modelli o caccia alle minacce.

L’impostazione di watchlist per garantire che gli avvisi con determinate caratteristiche identificate vengano promossi o soppressi può anche aiutare a ridurre l’affaticamento degli avvisi. In questo modo gli avvisi provenienti da un gruppo di utenti o dispositivi che eseguono attività che di solito attivano un avviso vengono eliminati dalla priorità, impedendo che eventi benigni diventino avvisi e intasano i pesanti carichi di lavoro di un team di sicurezza.

Strategie di sicurezza informatica: ottenere una visione a volo d’uccello

Quando si parla di criminalità informatica, “non sono solo le autorità locali ad essere colpite… anche le aziende e i rivenditori sono nelle liste dei nostri avversari”, come ha osservato il Cancelliere del Ducato di Lancaster, Steve Barclay, durante il suo discorso sul lancio della Strategia di Cyber ​​Security del Governo.

Per il rivenditore di moda online globale ASOS, i suoi team di sicurezza informatica sono sottoposti a un’enorme pressione per prevenire incidenti che potrebbero portarlo offline o accedere a preziosi dati dei clienti. Le minacce che l’azienda deve affrontare sono onnipresenti, a volte esistenziali e diventano ogni giorno più sofisticate, il che significa che hanno bisogno di una piattaforma in grado di fornire una solida funzione di sicurezza che funzioni perfettamente per i suoi sei team di esperti distribuiti su due centri operativi di sicurezza.

Utilizzando Microsoft Azure Sentinel, ASOS ha creato una panoramica di tutto ciò di cui ha bisogno per individuare tempestivamente le minacce, consentendole di salvaguardare in modo proattivo la propria attività e i propri clienti. Di conseguenza, ha dimezzato i tempi di risoluzione dei problemi.

L’esaurimento degli avvisi è un risultato ovvio dell’aumento esponenziale dei dati e del tentativo di un’organizzazione di proteggersi dalle violazioni informatiche cercando modi per identificare i rischi che stanno affrontando. Ma la capacità di proteggere un’organizzazione – e la felicità del team – sta nel ridurla il più possibile. Senza strategie di sicurezza informatica approfondite per ridurre l’affaticamento degli avvisi, le aziende rischiano di lasciarsi aperte alla perdita di minacce reali, con il personale troppo sopraffatto per individuarle.

Scritto da Paul Kelly, Direttore, Security Business Group, Microsoft UK

Editori Consigliato Articoli

Leave a Comment

Your email address will not be published. Required fields are marked *