Troppi avvisi di sicurezza, troppo poco precisi per essere davvero di aiuto agli analisti dei SOC, che iniziano a perdere fiducia verso le soluzioni tradizionali, a favore dell’AI.
Autore: Redazione SecurityOpenLab
I team SOC sono sopraffatti dalla quantità di alert che ricevono quotidianamente. La conseguenza è l’aumento della sfiducia nei confronti degli strumenti che dovrebbero aiutare gli analisti a identificare e contrastare le minacce - che invece vengono visti sempre più come un ostacolo. All’opposto, l'Intelligenza Artificiale sta guadagnando fiducia come strumento per migliorare l'efficacia dei SOC. Il dato proviene dal report State of Threat Detection: The Defender’s Dilemma di Vectra AI, basato sulle interviste a 2.000 professionisti della sicurezza informatica di Nord America, Europa, APAC e Medio Oriente impiegati in organizzazioni con almeno 1.000 dipendenti.
La principale difficoltà emersa dalle interviste è, oltre alla quantità degli avvisi di sicurezza, anche la loro qualità: nonostante l’uso diffuso di strumenti di detection e response quali per esempio i SIEM, l'efficacia nel riconoscere segnali di attacco veri e propri è ritenuta insoddisfacente. Tanto che il 47% dei team SOC non si fida dei propri strumenti e li reputa inefficienti nel fornire informazioni corrette per fermare un attacco.
Uno dei dati più significativi che emerge dal report è che il 71% dei team SOC teme di perdere un attacco reale, sepolto tra migliaia di alert. Nel report si legge che in media i team SOC ricevono circa 3.832 avvisi al giorno ma riescono a gestirne solo il 38%. Appena il 16% di questi viene classificato come un vero attacco. Questo genera una sensazione di frustrazione crescente ed è per questo motivo che il 50% dei professionisti ritiene i propri strumenti di sicurezza un intralcio più che un supporto.
La situazione è aggravata dalla sensazione che i vendor di soluzioni di cybersecurity siano parte del problema. Il 60% dei SOC reputa che i vendor offrano strumenti che generano troppi alert e il 71% pensa che i vendor dovrebbero assumersi maggiori responsabilità nel caso in cui le proprie soluzioni non riuscissero a bloccare una violazione. Non è finita. Il 60% degli intervistati critica gli strumenti di sicurezza acquistati come parte di una semplice formalità per garantire la conformità normativa, senza apportare valore reale.
Un'altra sfida emersa dal report riguarda il numero eccessivo di strumenti in uso. Quasi tre quarti dei SOC utilizzano più di 10 strumenti di rilevamento delle minacce; il 45% ne utilizza oltre 20. Una frammentazione tale da generare complessità operativa che non solo aumenta il carico di lavoro, ma rende anche difficile identificare e dare priorità alle minacce reali.
Come accennato in apertura, il successo dell'Intelligenza Artificiale dilaga non solo per la quantità di soluzioni adottate. Il 97% dei team SOC ha già adottato strumenti basati sull'AI, e il 75% di questi afferma che l'AI ha contribuito a ridurre il carico di lavoro negli ultimi 12 mesi. Questa crescita nell’uso dell'AI è vista in modo positivo dai professionisti: l'89% prevede di investire ulteriormente in strumenti basati sull'intelligenza artificiale nel corso del prossimo anno per sostituire le tecnologie legacy, che spesso richiedono una manutenzione costante e producono troppi falsi positivi. A proposito di questo, il 77% dei team SOC ammette di dover mettere da parte attività importanti per gestire la manutenzione degli strumenti di sicurezza più di due volte alla settimana.
A seguito di queste considerazioni non stupisce che il cauto ottimismo per il futuro espresso dagli intervistati è legato proprio all’AI. Il 67% dei SOC riferisce che l'AI ha avuto un impatto positivo sulla capacità di identificare e gestire le minacce, e il 73% afferma che l'AI ha ridotto il livello di burnout tra i membri del team. La morale è presto detta: il futuro della cybersecurity è sempre più legato all'AI, ma i vendor hanno il dovere di fare di più per fornire soluzioni integrate e realmente efficaci.