Operazioni di sicurezza: cinque punti cruciali
La continua minaccia di attacchi informatici continua a porre grandi sfide alle aziende. Molte si affidano a fornitori esterni per le operazioni di sicurezza (SecOps). Anche in questo caso, però, la sicurezza informatica non è scontata, ma richiede alcuni prerequisiti. Cinque principi fondamentali per il successo.
Con il termine SecOps, ovvero Security Operations, gli esperti di sicurezza informatica riassumono tutte le attività operative del loro settore. Poiché il portafoglio di compiti è molto ampio, le aziende hanno bisogno di un Security Operations Centre (SOC) per proteggere la loro infrastruttura IT a 360 gradi. Un singolo dipendente che elabora gli avvisi provenienti da strumenti EDR (Endpoint Detection and Response) e SIEM (Security Information and Event Management) non è assolutamente sufficiente a questo scopo, in quanto Continua sottolinea. Poiché poche aziende hanno i mezzi finanziari per creare un SOC e la mancanza di personale qualificato lo impedisce anche se le condizioni sono perfette, molte si affidano all'outsourcing. Ma anche la collaborazione con un fornitore di servizi deve essere altamente efficiente, alla luce dei crescenti attacchi informatici e di una situazione di minaccia in costante evoluzione. Ontinue elenca i cinque principi fondamentali per una SecOps efficace ed efficiente:
Automazione: L'automazione è un aspetto fondamentale per i team SecOps per evitare di perdersi nella marea di avvisi. Gli esperti di sicurezza devono quindi utilizzare gli strumenti SOAR (Security Orchestration, Automation and Response) per definire azioni di risposta significative, ossia reazioni automatiche agli incidenti ricorrenti. Ad esempio, il software potrebbe isolare automaticamente l'host interessato in caso di allarme che indica un attacco ransomware.
Collaborazione: La collaborazione senza soluzione di continuità tra le aziende e il SOC esterno di un fornitore di MXDR è l'elemento fondamentale per una protezione efficiente. Anche in tempi di strumenti di collaborazione elaborati, molti utilizzano ancora sistemi di ticket macchinosi e lenti per questo scopo. Tuttavia, è più sensato utilizzare piattaforme come Microsoft Teams o Slack, che consentono una comunicazione più diretta e informale tra tutti i partecipanti. Questo può ridurre il tempo medio di risposta (MTTR).
Localizzazione: Per garantire il massimo livello di sicurezza, i fornitori di servizi esterni come i provider MXDR devono conoscere a fondo l'infrastruttura IT delle aziende per cui lavorano. A tal fine, devono conoscere bene i client, gli endpoint e i server da un lato, ma anche avere una panoramica delle proprietà individuali e dei diritti di accesso basati sui ruoli dall'altro. È inoltre importante che sappiano esattamente quali sono le applicazioni aziendali esistenti e quali di esse sono essenziali per l'azienda e le sue operazioni quotidiane. Alcuni fornitori di MXDR, con il permesso delle aziende, implementano bot di intelligenza artificiale che monitorano automaticamente l'infrastruttura IT e informano i SOC esterni quando compaiono hardware o software sconosciuti.
Specializzazione: Quando si parla di architetture di sicurezza, meno è meglio. Molti fornitori di servizi si affidano a un portafoglio di prodotti di sicurezza troppo ampio. Lo svantaggio è che i loro esperti devono confrontarsi con tecnologie diverse. È quindi più sensato concentrarsi su un ecosistema olistico di un unico produttore, per integrare le operazioni di sicurezza in modo semplice e completo e fornire così la massima qualità in questo settore. È inoltre più facile per gli esperti IT interni collaborare con i colleghi esterni se il portafoglio di prodotti utilizzato è il più coerente possibile.
Prevenzione: L'allarme migliore è quello che non si presenta in primo luogo. Le aziende e i fornitori di servizi devono quindi collaborare per affrontare le minacce in modo proattivo, non solo reattivo. In parole povere, ciò significa che entrambe le parti lavorano in modo proattivo. Da parte dell'azienda, ciò significa informare tempestivamente il partner di sicurezza sui cambiamenti dell'infrastruttura IT o addirittura coinvolgerlo nella valutazione di nuovi hardware o software. Per quanto riguarda il fornitore di servizi, ciò significa, tra l'altro, dedicare molto tempo alla cosiddetta threat intelligence, ossia al rilevamento di possibili lacune e minacce future alla sicurezza.
"Mettere in pratica SecOps efficienti non è un'impresa facile, né per i fornitori di MXDR né per le aziende", sottolinea Jochen Koehler, VP EMEA Sales di Ontinue. "Pertanto, è importante che tutte le parti interessate collaborino e che la cooperazione funzioni senza problemi. Questo funziona solo se entrambe le parti lavorano su una comunicazione continua e fanno tutto il possibile, nelle rispettive aree di responsabilità, per adottare le massime precauzioni di sicurezza. Solo così possono davvero rendere la vita difficile agli hacker".
