Man mano che le organizzazioni si adattano ai moderni ambienti multicloud, si trovano ad affrontare una maggiore complessità che rende la gestione della sicurezza molto più difficile.
Le vulnerabilità possono entrare nel ciclo di vita dello sviluppo del software (software development lifecycle, SDLC) in qualsiasi fase e possono avere un impatto significativo se non vengono rilevate. Di conseguenza, le organizzazioni stanno implementando analisi di sicurezza per gestire i rischi e migliorare l’efficienza del DevSecOps.
Secondo una recente ricerca globale, le preoccupazioni relative alla sicurezza dei Chief Information Security Officer (CISO) si stanno moltiplicando.
Due terzi affermano che la gestione delle vulnerabilità sta diventando sempre più difficile a causa della complessità della supply chain e degli ecosistemi cloud. Il 75% afferma che i silos dipartimentali e le soluzioni specifiche facilitano il passaggio delle vulnerabilità in produzione. Infine, solo il 50% è sicuro che le proprie applicazioni siano state testate per individuare eventuali vulnerabilità prima di entrare in produzione.
Il risultato è un panorama in cui la stragrande maggioranza dei CISO teme che, se non riescono a trovare un modo per far funzionare il DevSecOps in modo più efficace, le vulnerabilità saranno più difficili da identificare, contenere ed eliminare.
Fortunatamente, i CISO possono utilizzare l’analisi della sicurezza per migliorare la visibilità di ambienti complessi e consentire una protezione proattiva. Ecco come.
Indice degli argomenti
Come un’efficace security analytics aiuta le organizzazioni
L’analisi della sicurezza combina la raccolta, l’aggregazione e l’analisi dei dati per cercare e identificare potenziali minacce. Utilizzando una combinazione di dati storici e informazioni raccolte in tempo reale, i team di sicurezza possono rilevare le minacce in anticipo nello sviluppo del software.
Possono anche sviluppare misure di sicurezza proattive in grado di fermare le minacce prima che violino le difese della rete.
Ad esempio, un’organizzazione potrebbe utilizzare strumenti di analisi della sicurezza per monitorare il comportamento degli utenti e il traffico di rete.
Se rilevano utenti che accedono in orari strani o in luoghi strani – ad esempio al di fuori dell’orario di lavoro o da una posizione geograficamente distante – e vedono un corrispondente picco nel traffico di rete, l’analisi della sicurezza può fornire dati sui potenziali indicatori di compromissione (indicators of compromise – IOC).
I team possono, quindi, agire prima che gli aggressori abbiano la possibilità di compromettere dati chiave o disattivare sistemi critici.
Perché l’analisi della sicurezza è importante
Una piattaforma di analisi della sicurezza offre numerosi vantaggi per le organizzazioni.
Rilevamento tempestivo delle minacce
Gli strumenti di analisi della sicurezza utilizzano dati storici e attuali per valutare il panorama delle minacce e prevedere i probabili risultati. Il rilevamento tempestivo delle minacce consente una riparazione tempestiva, prevenendo potenziali violazioni e interruzioni.
Questo consente ai team di sicurezza di concentrare i propri sforzi sulle probabili minacce e sui relativi IOC rivelatori, contribuendo a porre rimedio rapidamente e preparare un piano d’azione per il futuro.
Conformità migliorata
Una migliore comprensione della sicurezza dei dati in più applicazioni e ambienti fornisce una visione unificata di eventi e informazioni.
Ciò offre due vantaggi per la conformità. Innanzitutto, i manager possono monitorare e rispondere rapidamente alle minacce. In secondo luogo, le aziende dispongono di una catena di dati verificabile utilizzata per dimostrare la due diligence sulla sicurezza.
Insights migliorati
Una piattaforma di analisi della sicurezza può aiutare a fornire analisi degli attacchi end-to-end utilizzando tecniche come l’analisi forense dei log.
Questi dati aiutano i team a vedere dove sono iniziati gli attacchi, quali sistemi sono stati presi di mira e quali tecniche hanno utilizzato gli aggressori.
Dotate di insight migliorati, le organizzazioni possono elaborare policy di sicurezza informatica che affrontano preoccupazioni comuni.
Maggiore visibilità
L’analisi della sicurezza può aiutare a creare connessioni tra più applicazioni, servizi e cloud.
Questo significa che forniscono maggiore visibilità alle organizzazioni in ambienti IT sempre più disparati.
Una visibilità che consente ai team di comprendere meglio dove la protezione è sufficiente, dove necessita di intervento e dove necessita di un’azione immediata.
Protezione proattiva
La difesa reattiva può aiutare a limitare l’impatto di un attacco ma non può eliminare l’attacco prima che inizi. La protezione proattiva, tuttavia, si concentra sulla ricerca di prove di attacchi prima che compromettano i sistemi chiave.
Un approccio proattivo consente alle squadre di ribaltare la situazione contro gli attaccanti effettuando il primo colpo.
Analisi della sicurezza rispetto agli strumenti SIEM
Gli strumenti di SIEM (Security Information and Event Management) sono fondamentali per la sicurezza aziendale. Queste soluzioni offrono un modo per proteggere le reti perimetrali e individuare potenziali attacchi utilizzando un approccio basato sulle firme.
Nel frattempo, gli strumenti di analisi della sicurezza sfruttano l’analisi basata sul comportamento per monitorare continuamente le reti cloud, on-premise e ibride.
Ecco uno sguardo alle caratteristiche principali del SIEM e degli strumenti di analisi della sicurezza e al modo in cui si accumulano.
Utilizzo tipico
Le organizzazioni in genere utilizzano strumenti SIEM per monitorare applicazioni monolitiche e valutare lunghi cicli di sviluppo e rilascio.
Le soluzioni di analisi della sicurezza sono progettate per gestire applicazioni moderne che si basano su codice dinamico e microservizi.
Tipologia di infrastruttura
Nella maggior parte dei casi, gli strumenti SIEM legacy sono locali.
Gli strumenti di analisi della sicurezza possono essere qualsiasi combinazione di strumenti on-premise, nel cloud o entrambi.
Tempo per l’installazione e la configurazione
L’implementazione degli strumenti SIEM, soprattutto in ambienti consolidati, può richiedere mesi.
Gli strumenti di analisi della sicurezza basati sul cloud, nel frattempo, possono essere configurati e funzionanti in pochi giorni o addirittura ore.
Approccio alla sicurezza
Gli strumenti SIEM utilizzano un approccio basato sulla firma per rilevare le minacce. Se il codice non avesse una firma conosciuta, potrebbe ottenere l’accesso anche se contiene payload dannosi.
L’analisi della sicurezza utilizza il machine learning per acquisire dati e identificare potenziali firme di attacchi, modelli di comportamento e tendenze.
Visibilità potenziale
L’analisi della sicurezza aiuta le organizzazioni a ottenere una visione olistica dei propri ambienti IT, comprese le interfacce di programmazione delle applicazioni (API) e le soluzioni legacy. Un SIEM limita la sicurezza a bande ristrette di visibilità legate a specifiche firme di attacco.
In parole povere, gli strumenti SIEM eccellono nel proteggere ciò che è noto affrontando ed eliminando le minacce alla sicurezza precedentemente rilevate.
Le piattaforme di security analytics, al contrario, proteggono dall’ignoto. Invece di concentrarsi sulla firma specifica degli attacchi, gli strumenti di analisi della sicurezza prendono di mira il comportamento sottostante, consentendo alle organizzazioni di rilevare le minacce in anticipo e rispondere il prima possibile.
Sfide di un’analisi efficace della sicurezza
Sebbene l’analisi della sicurezza rappresenti un passo avanti rispetto agli strumenti SIEM tradizionali, non è priva di sfide.
La prima sfida per un’analisi efficace della sicurezza riguarda le fonti di dati distribuite. La natura della generazione di dati “sempre e ovunque” fa sì che i dati non siano più confinati in processi strutturati e non possano sempre essere definiti dalle policy esistenti.
Sebbene pool di dati più grandi significhino un maggiore accesso a potenziali insight, comportano la sfida della visibilità. In che modo le aziende trovano, esaminano e analizzano in modo affidabile questi dati?
L’analisi della sicurezza deve anche confrontarsi con l’architettura multicomponente della moderna infrastruttura IT. Ciò include tutto, dalle implementazioni multicloud ai microservizi, alle istanze Kubernetes e all’uso di software open source.
Il risultato netto è una sfida crescente per arrivare alla causa principale. Sebbene sia facile per le soluzioni di analisi individuare i sintomi, determinare la fonte comune è molto più difficile.
I dati archiviati rappresentano anche una sfida per un’analisi della sicurezza efficace. Tali dati sono stati compressi o altrimenti alterati per l’archiviazione in un data warehouse. Sebbene abbiano ancora valore una volta ripristinati nella loro forma originale, questo processo può richiedere molto tempo e risorse.
Inoltre, data la natura urgente di molte minacce, le organizzazioni non possono permettersi di aspettare che i dati ritornino nella loro forma originale.
L’importanza dell’osservabilità nell’analisi della sicurezza
Quando si tratta di analisi della sicurezza, un maggiore contesto e gli insight sono i principali vantaggi. Una migliore visibilità significa più dati da cui trarre insight, fornendo analisi e risposte alle minacce più complete.
Di conseguenza, l’osservabilità è un must per qualsiasi piattaforma di analisi della sicurezza. Senza osservabilità, ai team manca parte (o tutto) del contesto che circonda gli eventi di sicurezza attuali e passati. Ma l’osservabilità non si limita alla semplice scoperta dei dati attraverso la rete.
Per fornire insight fruibili, l’osservabilità deve fornire insight dinamici e aiutare a fornire il contesto per le principali fonti di dati.
L’osservabilità inizia con la raccolta, l’archiviazione e l’accessibilità di più fonti. Include anche report continui provenienti da tali fonti, come applicazioni e servizi che vengono aggiornati una, due o più volte al giorno.
Infine, l’osservabilità aiuta le organizzazioni a comprendere le connessioni tra le diverse risorse software, hardware e infrastrutturali. Sebbene i dati sul software presi singolarmente forniscano un certo valore, mancano del contesto più ampio necessario per affrontare il problema su larga scala. Ad esempio, l’aggiornamento di un software potrebbe causare un problema di compatibilità hardware, che si traduce in una sfida infrastrutturale.
