Autore: Redazione SecurityOpenLab
La piattaforma unica di cybersecurity è ormai un must. Fino a qualche tempo fa erano gli specialisti di cybersecurity a dirlo, oggi sono le aziende. Tutte le recenti survey condotte a vario titolo dalle aziende di sicurezza informatica rivelano infatti lo stesso problema: la scarsa visibilità sugli asset aziendali a causa della frammentazione delle (troppe) soluzioni di sicurezza.
Per citare l’indagine più recente in ordine di tempo, nel Cisco Cybersecurity Readiness Index figura che il 75% delle aziende interpellate ha ammesso che l’abbondanza di prodotti per la security complica di molto la gestione della security e ostacola le indagini e la risposta agli attacchi, oltre che il ritorno all’operatività a seguito di un incidente cyber.
Il nocciolo della questione è piuttosto chiaro: trasformazione digitale e lavoro ibrido hanno ampliato a dismisura la superficie di attacco. Contestualmente gli elevati guadagni garantiti ai criminali informatici alimentano la spirale degli attacchi rendendoli sempre più frequenti e distruttivi. E l’annosa carenza di personale specializzato in cybersecurity acuisce il tutto, andando a creare la ricetta perfetta per una difesa cyber fallace.
Parola d’ordine ottimizzare
In una situazione del genere l’unica opzione funzionale è l’ottimizzazione, sia delle risorse che degli strumenti. Certo, l’ampio panorama di soluzioni sul mercato offre la migliore opzione per la difesa dell’identità, dei workload in cloud, delle app, degli endpoint, della posta elettronica e quant’altro. Ma una impostazione del genere richiede persone specializzate e formate su ciascuna piattaforma, e in numero sufficiente per monitorare N piattaforme contemporaneamente.
Ammesso e non concesso che un’impostazione come quella appena ipotizzata fosse realizzabile, la sicurezza non sarebbe comunque efficace. Gli esperti in questione, infatti, dovrebbero essere tanto solerti da analizzare milioni di alert al giorno, ogni giorno dell’anno, 24 ore su 24, a velocità macchina. Semplicemente, non è possibile.
Con tutto il pragmatismo del caso, gli esperti di sicurezza informatica hanno preso coscienza del fatto che bisogna far buon viso a cattivo gioco e unificare la sicurezza. In tempo di pandemia tutte le aziende di cybersecurity hanno iniziato a consigliare i clienti di abbandonare le soluzioni specializzate e di consolidare i fornitori abbassandone il più possibile il numero.
Nel passato recente il concetto si è ulteriormente evoluto sotto due aspetti. Il primo è che, vista l’impossibilità di presidiare le infrastrutture aziendali nella loro completezza con un solo prodotto, si è passati ai SIEM e più di recente agli XDR. Oggi praticamente tutti i vendor di cybersecurity hanno a listino una soluzione di eXtended Detection and Response che colleziona, correla e gestisce autonomamente i dati provenienti da soluzioni verticali per la sicurezza di email, endpoint, server, cloud, rete, eccetera. Gli XDR possono essere aperti o chiusi, ossia accogliere o meno le informazioni provenienti da prodotti di terze parti, ma tutti comunque offrono una sola console da cui monitorare l’intera infrastruttura nel suo complesso.
Il secondo elemento è l’intelligenza artificiale. Si fa presto a dire XDR, ma come sottolineano in molti, per gestire un XDR occorrono competenze. A meno che non si chiami in causa l’Intelligenza Artificiale, o meglio ancora la GenAI, che permette di interpellare la piattaforma in linguaggio umano e di rispondere a molte situazioni in maniera del tutto autonoma, abbassando le skill richieste per gli analisti. In questo caso il vantaggio è doppio. Da una parte la risposta viene attuata a velocità macchina, e sappiamo che prima viene identificato e bloccato un attacco, meno sono i danni che riuscirà a causare. Il secondo è che in parte si può usare l’XDR per compensare all’annoso problema dello skillgap, sempre tenendo presente che la macchina non potrà comunque rimpiazzare gli analisti presenti.
Fin qui la teoria generale. All’atto pratico ogni piattaforma è differente e include caratteristiche peculiari che devono essere soppesate per prendere una decisione informata. Vi invitiamo quindi a leggere i contributi delle aziende di cybersecurity che hanno partecipato a questo speciale per chiarirvi le idee sul prodotto più adatto alle vostre esigenze.