Quasi tre organizzazioni su quattro (70%) faticano a tenere il passo con il volume di avvisi generati dai propri strumenti di analisi della sicurezza. Ciò si traduce in una mancanza di risorse per le attività strategiche chiave, portando le organizzazioni a ricorrere all'automazione dei processi e all'outsourcing, secondo il recente studio ESG, SOC Modernization and the Role of XDR, commissionato da Kaspersky.
Oltre al volume degli avvisi, tuttavia, anche la varietà degli avvisi rappresenta una sfida per oltre i due terzi (67%) delle persone impiegate in un centro operativo di sicurezza (SOC).Entrambi i fattori rendono difficile per gli analisti SOC concentrarsi concentrarsi su compiti più complessi e importanti. In un'azienda su tre (34%), i team di sicurezza informatica, sopraffatti da avvisi e problemi di sicurezza di emergenza, non hanno abbastanza tempo per impegnarsi nell'ottimizzazione della strategia e dei processi.
La mancanza di personale non è il problema
Lo studio mostra anche che le aziende non attribuiscono questa situazione alla mancanza di personale. L'83% ritiene che il proprio SOC disponga di personale sufficiente per proteggere efficacemente un'azienda delle sue dimensioni. Tuttavia, ritengono che sarebbe necessario automatizzare i processi e utilizzare servizi esterni. Più della metà degli intervistati (55%) cita il motivo principale per l'utilizzo dei servizi gestiti nel concedere al proprio personale più tempo per concentrarsi su iniziative più strategiche piuttosto che dedicare tempo alle operazioni di sicurezza.
"Piuttosto che cercare in modo proattivo minacce avanzate e minacce evasive nell'infrastruttura, gli analisti SOC possono attualmente rispondere solo alle emergenze", ha affermato Yuliya Andreeva, senior product manager di Kaspersky. “Ridurre il numero di avvisi, automatizzarne il consolidamento e la correlazione in catene di incidenti e ridurre i tempi di risposta complessivi dovrebbe essere l'obiettivo delle organizzazioni per migliorare le prestazioni del proprio SOC. Possono raggiungere questo obiettivo attraverso soluzioni di automazione appropriate ed esperti esterni”.
Raccomandazioni per l'ottimizzazione delle operazioni SOC
- Organizza i turni di lavoro nel SOC per evitare il sovraccarico del personale. Distribuisci a tutti i dipendenti le attività principali come il monitoraggio, l'indagine, l'architettura e l'ingegneria IT, l'amministrazione e la gestione del SOC.
- Sfrutta un servizio completo di informazioni sulle minacce [2] che consente l'integrazione di informazioni leggibili dalla macchina con i controlli di sicurezza esistenti, come un sistema SIEM. Ciò può automatizzare il processo di valutazione iniziale e generare un contesto sufficiente per decidere se esaminare immediatamente un avviso.
- Per liberare il SOC dalle attività di triage degli avvisi di routine, le organizzazioni possono rivolgersi a comprovati servizi gestiti di rilevamento e risposta. Kaspersky Managed Detection and Response [3] combina le tecnologie di rilevamento basate sull'intelligenza artificiale con una vasta esperienza nella caccia alle minacce e nella risposta agli incidenti da parte di entità professionali, tra cui il Kaspersky Global Research & Analysis Team (GReAT).
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/