Gli analisti della sicurezza nel SOC desiderano il rilevamento automatico delle minacce in modo da non doversi preoccupare di incidenti mancanti. Il sondaggio "Voice of the Analysts" mostra il desiderio di gestire la crescente stanchezza degli allarmi causata da un'ondata di falsi positivi.
FireEye, Inc., la società di sicurezza basata sull'intelligence, presenta il briefing di IDC, "The Voice of the Analysts: Improving Security Operations Center Processes Through Adapted Technologies" (allegato). L'indagine condotta su 350 analisti di sicurezza interni e fornitori di servizi di sicurezza gestiti (MSSP) ha rivelato che stanno diventando sempre più improduttivi. Ciò è dovuto a una diffusa "fatica da allerta" che porta a allarmi ignorati, aumento dello stress e la preoccupazione di perdere incidenti di sicurezza. Per aumentare la soddisfazione sul lavoro e l'efficacia del loro Security Operations Center (SOC), gli analisti intervistati vorrebbero automatizzare varie attività.
Gli analisti della sicurezza nel SOC inondati di informazioni
"Gli analisti della sicurezza sono sopraffatti da un diluvio di falsi positivi provenienti da soluzioni disparate e sono sempre più preoccupati di perdere una vera minaccia", ha dichiarato Chris Triolo, vicepresidente del successo dei clienti di FireEye. "Per affrontare questa sfida, gli analisti hanno bisogno di strumenti di automazione avanzati come Extended Detection and Response (XDR) che riducano la preoccupazione di incidenti mancanti e quindi rafforzino il SOC".
Gli avvisi in aumento stanno aumentando la pressione sugli analisti della sicurezza, costringendoli a dedicare quasi la metà del loro tempo ai falsi positivi.
- I falsi allarmi portano alla "stanchezza degli allarmi": analisti e responsabili della sicurezza IT ricevono migliaia di rapporti ogni giorno, il 45% dei quali sono falsi positivi, secondo gli intervistati. Ciò riduce l'efficienza degli analisti interni e rallenta i flussi di lavoro. Il 35% degli intervistati ha dichiarato di ignorare gli allarmi per poter far fronte al flusso di messaggi nel SOC.
- Gli MSSP impiegano ancora più tempo a valutare i falsi positivi e ignorano ancora più avvisi: gli analisti MSSP hanno riferito che il 53% degli avvisi che ricevono sono falsi positivi. Nel frattempo, il 44% degli analisti dei fornitori di servizi gestiti ha affermato di ignorare gli avvisi quando la loro coda si riempie, il che potrebbe portare a una violazione della sicurezza per più clienti.
La paura degli incidenti mancanti (FOMI) colpisce la maggior parte degli analisti e dei manager della sicurezza.
- Poiché gli analisti trovano più difficile gestire manualmente gli avvisi, aumenta anche la loro preoccupazione per la mancanza di un incidente: tre analisti su quattro sono preoccupati per gli incidenti mancanti e un analista su quattro è "molto" preoccupato per gli incidenti mancanti .
- Questo FOMI affligge i responsabili della sicurezza ancor più dei loro analisti: oltre il 6% dei responsabili della sicurezza ha affermato di dormire male per paura di incidenti mancanti.
Gli analisti hanno bisogno di soluzioni SOC automatizzate per contrastare il FOMI.
- Meno della metà dei team di sicurezza aziendali utilizza attualmente strumenti per automatizzare le attività del SOC: lo studio rivela gli strumenti preferiti dagli analisti di sicurezza per la revisione degli avvisi. Mostra che meno della metà dell'intelligenza artificiale e dell'apprendimento automatico (43%), degli strumenti SOAR (security orchestration automation and response) (46%), del software SIEM (security information and event management) (45%), della caccia alle minacce (45%) e altre funzioni di sicurezza. Inoltre, solo due analisti su cinque utilizzano l'intelligenza artificiale e l'apprendimento automatico insieme ad altri strumenti.
- Le soluzioni automatizzate avanzate riducono l'affaticamento degli avvisi dei team di sicurezza e migliorano il successo del SOC consentendo agli analisti di concentrarsi su attività più impegnative come la caccia alle minacce e le indagini informatiche: gli analisti desiderano soprattutto l'automazione del rilevamento delle minacce (18%), seguita dall'intelligence sulle minacce (13%) e valutazione degli incidenti (9%).
Metodologia della newsletter IDC
IDC ha intervistato 300 responsabili della sicurezza IT e analisti della sicurezza statunitensi che lavorano nei SOC in vari settori, tra cui finanza, sanità e governo, nonché 50 fornitori di servizi di sicurezza gestiti, sulle sfide che incontrano nella gestione dei propri SOC. Il sondaggio è stato condotto nell'autunno 2020. Questa newsletter di IDC era precedentemente sponsorizzata da Respond Software, ora parte di FireEye.
Ulteriori informazioni su FireEye.com
A proposito di Trellix Trellix è un'azienda globale che ridefinisce il futuro della sicurezza informatica. La piattaforma XDR (Extended Detection and Response) aperta e nativa dell'azienda aiuta le organizzazioni che affrontano le minacce più avanzate di oggi a ottenere la certezza che le loro operazioni siano protette e resilienti. Gli esperti di sicurezza di Trellix, insieme a un vasto ecosistema di partner, accelerano l'innovazione tecnologica attraverso l'apprendimento automatico e l'automazione per supportare oltre 40.000 clienti aziendali e governativi.