Un nuovo report globale di Kaspersky evidenzia un punto cieco nei SOC aziendali in base al quale il 67% dei dati telemetrici raccolti non è inserita nelle pipeline di rilevamento in tempo reale. Creando così lacune nascoste che le valutazioni interne tendono a trascurare e alimentando così la richiesta di consulenze SOC indipendenti per individuarle. Il report dal titolo ‘Anatomy of a Cyber World’ è un’analisi globale che si basa sulle statistiche relative agli incidenti raccolti da Kaspersky Managed Detection and Response, Kaspersky Incident Response, Kaspersky Compromise Assessment e Kaspersky SOC Consulting. La ricerca mette in luce tattiche, tecniche e strumenti più diffusi utilizzati dagli autori degli attacchi. Oltre alle caratteristiche degli incidenti rilevati e la loro distribuzione a livello regionale e settoriale.
Come valutare la reale efficacia operativa dei SOC
Mentre le aziende continuano a investire nei Security Operations Center (SOC), misurarne le reali performance resta una sfida complessa. L’efficacia operativa dipende non solo dal volume dei dati raccolti, ma anche dalla capacità di utilizzarli in modo efficace ai fini del rilevamento. Secondo un sondaggio di Kaspersky, le aziende valutano generalmente l’efficacia dei SOC attraverso un numero limitato di indicatori chiave di performance. Come tempo medio di risposta (MTTR) e tempo medio di rilevamento (MTTD). Mentre parametri più approfonditi, come i tassi di falsi positivi o il costo per incidente, restano secondari. La vera domanda, però, riguarda sì la rapidità con cui il SOC risponde, ma anche la capacità di individuare le minacce prima che si aggravino.
Cosa succede alla gran parte dei dati raccolti
I risultati del Kaspersky Security Services Global Report confermano un dato significativo: la maggior parte dei SOC raccoglie molti più dati di quanti ne utilizzi effettivamente per il rilevamento. La copertura media delle regole di correlazione nelle aziende valutate si attesta infatti al 43%. Il che significa che, mediamente, la logica di rilevamento attiva copre meno della metà di tutte le fonti di dati acquisite. Il resto rimane nella piattaforma a disposizione per indagini retrospettive, attività di threat hunting o finalità di conformità, ma resta invisibile al rilevamento in tempo reale.
Nei SOC meno evoluti i dati raccolti non vengono mai realmente utilizzati
Questa lacuna non è sempre involontaria. Alcuni dati vengono infatti raccolti deliberatamente al di fuori dell’ambito della correlazione attiva, per soddisfare esigenze investigative o normative. Tuttavia, in molti casi, le fonti vengono integrate senza un piano di rilevamento chiaro oppure con lo sviluppo delle regole rinviato e mai completato. Questa situazione è più tipica dei SOC maturi; negli ambienti meno evoluti, invece, i dati vengono spesso raccolti senza essere mai realmente utilizzati. Le ragioni possono essere diverse. Si va dall’integrazione delle fonti prima dello sviluppo pianificato delle regole a una gestione poco chiara della logica di rilevamento. Arrivando fino a limitazioni di risorse che rinviano indefinitamente il lavoro di ingegneria. In entrambi i casi, però, il risultato è lo stesso: porzioni dell’ambiente restano di fatto non monitorate in tempo reale.
Quando l’azienda si amplia
A rendere il quadro ancora più complesso è il fatto che il problema tende ad aggravarsi con la crescita dell’azienda. I SOC che gestiscono i volumi di dati più elevati coprono infatti solo circa il 30% delle proprie fonti con logiche di rilevamento attive. Con l’espansione dell’infrastruttura, la capacità di ingegneria del rilevamento raramente cresce allo stesso ritmo. Le fonti che più frequentemente restano prive di copertura sono la telemetria di rete, i database e i server web. Infrastrutture fondamentali che dovrebbero invece essere al di qualsiasi strategia di rilevamento. Anche l’approccio alla logica di rilevamento varia notevolmente.
Tassi elevati di falsi positivi e lacune di copertura
Circa il 50% dei SOC valutati si affida principalmente a set di regole forniti dai vendor, mentre circa il 40% costruisce la propria logica da zero. I team che si affidano ai vendor devono spesso affrontare elevati tassi di falsi positivi e lacune di copertura dovute a una messa a punto insufficiente. Quelli che dipendono principalmente dall’EDR presentano invece punti ciechi nei casi in cui manca la correlazione tra fonti differenti. Nel frattempo, molte aziende definiscono l’ambito di rilevamento del proprio SOC già nella fase iniziale di progettazione, senza più rivederlo nel tempo. Un approccio che porta all’accumulo silenzioso di punti ciechi man mano che l’infrastruttura evolve.
Adottare un processo strutturato di ingegneria del rilevamento
Roman Nazarov, Head of SOC Consulting di Kaspersky Anche con l’adozione di KPI ben definiti, valutare internamente l’efficacia del SOC resta difficile a causa del pregiudizio derivante dalla visione privilegiata degli addetti ai lavori. Per questo motivo le aziende si rivolgono sempre più spesso a servizi di consulenza SOC esterni, in grado di valutare la logica di rilevamento, analizzare i flussi di eventi e simulare attacchi. Così da comprendere cosa venga effettivamente individuato. Per migliorare, le aziende dovrebbero adottare un processo strutturato di ingegneria del rilevamento. Una disciplina ripetibile per lo sviluppo, la convalida e la revisione periodica della logica di rilevamento.
Come creare un SOC interno da zero secondo Kaspersky
Per allineare processi interni e tecnologie all’attuale panorama delle minacce, le aziende possono valutare il servizio Kaspersky SOC Consulting. Una soluzione che aiuta a creare un SOC interno da zero, a valutare la maturità di uno già esistente o a potenziare capacità specifiche, come le procedure di rilevamento e risposta. Nel 2025, i progetti di consulenza più richiesti sono stati la Valutazione Tecnica del SOC (23,4%), lo Sviluppo del Framework del SOC (20%) e, a pari merito, la Valutazione della Maturità del SOC e la Garanzia di Qualità SIEM (11,7% ciascuno). A conferma della crescente domanda di maggiore visibilità sulle performance dei SOC.
