Torna alla HomePage

Il parere di Reevo

Le previsioni degli esperti del il Security Operations Center di ReeVo

Autore: Redazione SecurityOpenLab

Il perimetro di attacco è sempre più esteso e copre una combinazione multidimensionale di sistemi e applicazioni. Nel corso dell'ultimo anno, il Security Operations Center (SOC) di ReeVo ha gestito un volume significativo di incidenti di sicurezza: su un totale di circa 71.000 eventi rilevati, il 64,73% del totale sono stati eventi a bassa gravità o falsi positivi; il 35,27% eventi a media o alta gravità che hanno richiesto un intervento dell'analista. La maggior parte degli eventi rilevati (eventi a bassa gravità o falsi positivi) sono stati gestiti in modo automatizzato grazie a sistemi SOAR (Security Orchestration, Automation, and Response) e all'intelligenza artificiale (IA).

Questi numeri evidenziano il ruolo cruciale del SOC nella gestione proattiva delle minacce. Questa automazione sarà quindi essenziale anche nel 2025 per ridurre l'impatto operativo dei falsi positivi e degli eventi ricorrenti, permettendo agli analisti di concentrarsi su attività di maggiore valore strategico legate minacce di maggiore gravità, che richiedono un intervento approfondito di analisi e risposta.

Non tutte le aziende possono però permettersi di creare una struttura SOC dedicata, né dispongono della capacità di attrarre (e trattenere) le competenze iper-specialistiche necessarie per la gestione avanzata della sicurezza. Per questo motivo, il SOC è evoluto in un servizio managed, erogato da operatori specializzati come ReeVo e usufruito da aziende di svariate dimensioni e settori di operatività. Il SOC as-a-service è il servizio di Security Operations Center le cui componenti di servizio, e il relativo costo, sono proporzionate alle esigenze delle imprese. Questo permetterà in futuro a un numero sempre maggiore di aziende di accedere a un servizio di sicurezza avanzato, aumentando di fatto la resilienza a livello di sistema.

Importante sarà potersi dotare sempre di più di una protezione by design che, nel caso di uso di servizi cloud, consenta di spingersi proattivamente nella protezione dagli attacchi fino alle infrastrutture onpremise delle aziende. Adottando un approccio di sicurezza by-design è possibile garantire non solo continuità aziendale, ma anche la tranquillità di sapere che i dati critici sono protetti in ogni circostanza. L’ attenzione alla sicurezza infrastrutturale non deve limitarsi alla risposta alle minacce, ma deve estendersi alla prevenzione proattiva, all'automazione e all'innovazione costante, per anticipare e mitigare rischi futuri.

L’incident response per i servizi cloud, o cloud incident response, è il processo con cui vengono gestiti gli incidenti di sicurezza all’interno degli ambienti cloud. Molte aziende affidano al cloud i propri ambienti IT, creando ecosistemi distribuiti, con componenti pubbliche e private (cloud ibrido) anche di provider differenti (multicloud).

Per quanto il concetto di incident response sia lo stesso, i nuovi ecosistemi IT cloud-based presentano delle sfide inedite e significative. Per esempio, i dati sono distribuiti in più infrastrutture, e occorre un monitoraggio assiduo per identificare configurazioni non sicure o errori in grado di ampliare la superficie d’attacco. In termini più generici, però, le procedure di IR dovranno adattarsi a una nuova realtà, molto più complessa e dinamica di un tempo, cosa che implica la necessità di più competenze, una gestione diversa rispetto ai sistemi tradizionali e lo sviluppo di procedure iper-dettagliate (i cosiddetti playbook) che tengano conto di tutte le componenti dell’architettura e l’intreccio di relazioni esistenti tra le stesse.

Torna alla HomePage