AI e ML vanno in aiuto dei modelli SOC in outsourcing

Tante le aziende che scelgono un modello di SOC in outsorcing. Axitea: fondamentale è affidarsi a SOC con tecnologie innovative come AI e ML per l’automazione dei processi.  In uno scenario caratterizzato da minacce in continua evoluzione, le imprese sono chiamate a dotarsi di strumenti di prevenzione, monitoraggio e risposta sufficientemente flessibili per affrontare qualsiasi tipo di cambiamento. E inoltre intervenire a tutela del patrimonio aziendale e della continuità di business. Un valido supporto arriva dai Security Operations Center (SOC), con la loro capacità di monitoraggio continuo.

Un numero esponenziale di falsi positivi

Non tutte le imprese, però, hanno a disposizione risorse economiche e di personale sufficienti a inserire nella propria organizzazione un SOC interno. Il report Gartner “SOC Model Guide” stima, infatti, che la scarsità di risorse impedirà a 1 azienda su 3 di costruire un modello SOC efficace entro il 2025. Inoltre, il crescente aumento di soluzioni di sicurezza a difesa delle infrastrutture sta producendo inevitabilmente un numero esponenziale di falsi positivi. A questi i team di sicurezza, laddove presenti, non riescono a dare seguito.

Puntare sempre più sull’esternalizzazione

Sebbene siano generalmente conosciuti per la gestione di allarmi relativi a minacce informatiche (attacchi hacker) i SOC dovrebbero coprire una varietà più ampia di segnalazioni. Questa flessibilità è al centro dell’attenzione dei Security Manager. Sempre Gartner stima che il 90% delle organizzazioni adotterà in qualche misura un modello SOC ibrido.

AI e ML e il loro ruolo

Arrivando ad esternalizzare almeno metà delle operazioni nei prossimi 3 anni. Il lavoro di un SOC che offre servizi gestiti è proprio quello di togliere ai team di sicurezza aziendali l’onere del monitoraggio e aiutare nel contenimento e risposta ad eventuali attività che si rivelano non autorizzate. Di conseguenza, il SOC ideale deve adottare metodologie di gestione degli incidenti in modo scalabile e automatizzato.

Quali le caratteristiche

Le caratteristiche che dovrebbe avere un SOC in outsourcing sono molteplici:

• Le tipologie di allarme gestite dai SOC. I SOC sono l’alleato principale nella gestione degli allarmi cyber, legati a possibili minacce di matrice informatica. Come intrusioni nella rete aziendale, sottrazione di dati, interruzioni dei servizi di networking e accesso ai dati. In secondo luogo, i SOC consentono di gestire gli allarmi ambientali. Quegli avvisi, cioè, che identificano variazioni impreviste all’ambiente in cui si trovano gli impianti (ad esempio, fumo e calore, presenza di monossido di carbonio, rischio allagamento). Inoltre consentono di intervenire per mettere al sicuro sia gli asset aziendali che eventuali dipendenti presenti in loco.
• Infine, i SOC consentono di gestire anche allarmi di rete, relativi a interruzioni e danneggiamenti agli impianti, e personali, come l’allarme “SOS Uomo a terra”, generato da dispositivi di personal tracking, che segnalano la necessità di intervenire per prestare soccorso in caso di malore o infortunio. Cosa critica nel caso di lavoratori remoti o comunque di persone che prestano la propria opera in modo individuale.

Ottimizzare le regole di correlazione

• L’efficienza del SOC è data dalla sua scalabilità. Un SOC è tanto più efficace quanto più riesce a individuare e mettere in relazione tra loro gli ambiti a rischio. Se un allarme specifico presenta un certo livello di criticità, questo livello può aumentare in modo esponenziale se abbinato a una segnalazione concorrente. Per poter scalare in modo efficiente la gestione degli incidenti occorre lavorare su tecnologie e processi. Le tecnologie da mettere in campo devono potersi integrare attraverso API a sistemi di orchestrazione e gestione per una comunicazione efficace verso gli analisti.

AI e ML vanno in aiuto dei modelli SOC in outsourcing

• Consentendo loro di visionare gli eventi in una modalità standard, attraverso un layout di gestione semplice, indipendentemente dalle piattaforme utilizzate per il monitoraggio di ciascun tipo di incidente (EDR, SIEM, XDR, eccetera). Dal punto di vista dei processi, invece, è fondamentale prevedere risorse dedicate all’ottimizzazione delle regole di correlazione.

Il ruolo della tecnologia

• Il contributo di AI e ML a supporto degli analisti. Con un panorama così vasto di fonti di pericolo, un ruolo fondamentale lo giocano tecnologie innovative come intelligenza artificiale e deep learning per l’automazione dei processi. Questi processi di “whitelisting” ed “enrichment” delle piattaforme sono infatti aiutati da algoritmi di intelligenza artificiale e machine learning che intervengono sia in fase di clusterizzazione di un evento e che nella sua categorizzazione tra minaccia reale o falso positivo.
• Gli eventi di sicurezza

Contestualizzando i dati relativi agli eventi di sicurezza, AI e ML aiutano a stabilire il livello di affidabilità degli eventi di sicurezza per il futuro, raccomandando agli analisti le azioni da intraprendere per gestire gli incidenti. Inoltre, tecnologie con motori di clustering degli eventi consentono di prioritizzare le analisi dove gli eventi sono concentrati in un numero maggiore. Infine, per quanto riguarda l’ambito cyber, attraverso la mappatura di ogni evento in nomenclatura MITRE ATT&CK, possiamo capire se la catena di attacco sta proseguendo in una possibile effettiva minaccia.

I modelli SOC in outsourcing e il ruolo di AI e ML

Il ruolo del SOC contribuisce a migliorare la sicurezza di ogni impresa. Adottando un modello di SOC in outsourcing, in linea con gli obiettivi aziendali, la maturità dell’organizzazione, i processi e le competenze a disposizione, un’azienda può essere in grado di intervenire prontamente per gestire differenti fattori di rischio. E inoltre contenere i danni e i costi di recupero. Il risultato positivo però non si limita a questo. La componente di Machine Learning permette di aiutare tutte le imprese che utilizzano servizi SOC in modalità gestita, i cosiddetti SOC-as-a-Service.

Proteggersi contro attacchi futuri

Il risultato dell’analisi di un incidente relativo a una impresa concorre a definire in modo più accurato l’algoritmo e a revisionare il Global Confidence Score di tutte le altre aziende che utilizzano il servizio. Mettendo così in evidenza possibili servizi e vulnerabilità su cui intervenire. Affidandosi a SOC tecnologicamente avanzati, quindi, le imprese non solo proteggono sé stesse contro attacchi futuri, ma contribuiscono a innalzare le difese dell’intera rete imprenditoriale in cui operano.