Negli ultimi anni, la crescente complessità del panorama della cybersecurity e l’adozione di nuovi paradigmi hanno portato all’impiego di soluzioni sempre più sofisticate per proteggere reti e dati aziendali. In questo contesto, i Security Operations Center (SOC) sono stati sottoposti a nuove sfide.
Il Cloud shifting e l’enorme quantità di dati
Uno dei cambiamenti più impegnativi in questo contesto è l’adozione delle tecnologie cloud: un cambiamento significativo nel modo in cui le organizzazioni gestiscono le loro infrastrutture IT.
Secondo uno studio della Cloud Security Alliance, il 53,1% delle organizzazioni afferma che la gestione della sicurezza negli ambienti cloud è vantaggiosa ma più complessa rispetto agli ambienti on-premise.
Uno dei problemi più comuni è la crescente quantità di dati che devono essere analizzati. L’aumento dei costi è legato alla gestione di una quantità molto elevata di dati che i SOC devono essere in grado di gestire e analizzare in modo rapido ed efficiente. Man mano che sempre più dati e applicazioni migrano in cloud, i Security Operations Center (SOC) devono adattarsi alle nuove necessità per garantire il monitoraggio di questi ambienti.
Un problema simile esiste per la gestione dei log generati dalle soluzioni Endpoint Detection and Response (EDR), progettate per rilevare e rispondere alle minacce informatiche avanzate sugli endpoint, come desktop, laptop, server e dispositivi mobili. Le soluzioni EDR si basano sulla raccolta di grandi quantità di dati da varie fonti, inclusi registri di sistema, traffico di rete, attività di processo e comportamento degli utenti, per rilevare attività dannose e rispondervi rapidamente.
Tuttavia, l’enorme quantità di dati generati dagli EDR può essere difficile da gestire all’interno di un Security Operations Center (SOC), e terribilmente costosa se centralizzata all’interno delle soluzioni SIEM (Security Information and Event Management).
L’inaffidabilità dei SOC tradizionali
Secondo un sondaggio di Osterman Research, il 36% degli intervistati ha dichiarato di aver riscontrato problemi di qualità nel servizio con il proprio Managed Security Service Provider (MSSP). Questi problemi includevano scarsa reattività, mancanza di esperienza e mancato rispetto degli accordi sul livello di servizio. In un sondaggio condotto da IDG, il 51% degli intervistati ha dichiarato che il proprio SOC non ha soddisfatto le aspettative di sicurezza e, attualmente, non fornisce il livello di sicurezza necessario all’organizzazione.
Scegliere di evitare di raccogliere informazioni utili a causa dei costi genera rischi e rende i Security Operation Center ciechi e inefficaci nel rilevare attività sospette.
Inoltre, i SOC che non sono in grado di determinare con successo il motivo per cui si attivano gli allarmi di sicurezza, espongono i clienti a pericolose minacce informatiche.
Per superare queste sfide, i moderni Security Operation Center devono investire in tecnologie in grado di supportare la raccolta e l’archiviazione di enormi quantità di dati e implementare funzionalità di analisi avanzate per rilevare minacce che potrebbero essere difficili da identificare manualmente.
Il vantaggio di un SIEM basato sul Cloud
Oggi, un SIEM basato sul cloud offre diversi vantaggi:
- Scalabilità: le soluzioni SIEM basate su cloud possono essere scalate. Con l’aumento del volume dei dati di sicurezza, è possibile aggiungere ulteriori risorse cloud senza la necessità di aggiornamenti hardware locali.
- Cost-effectiveness: con una soluzione SIEM basata su cloud, un’organizzazione può evitare i costi associati all’acquisto e alla manutenzione di hardware e software locali, investendo in tecnologie all’avanguardia.
- Implementazione più rapida: le soluzioni SIEM basate su cloud possono essere implementate più rapidamente rispetto alle soluzioni on-premise. Questo perché non è necessario acquistare e installare hardware e software in loco, il che può richiedere settimane o addirittura mesi.
- Manutenzione: infrastruttura aggiornata mantenuta ed evoluta sfruttando nuove funzionalità e funzionalità, senza ritardi o sforzi di implementazione.
Per questo BIP CyberSec ha scelto Google come partner tecnologico per costruire il suo Re@ck Security Center.
Google Chronicle SIEM è una soluzione per la gestione di enormi quantità di dati. L’infrastruttura Cloud di Google fornisce l’architettura dell’applicazione, che consente scalabilità e capacità computazionale durante l’analisi in tempo reale e forense, garantendo velocità ed efficienza nel rilevamento e nella risposta agli attacchi.
Uno dei vantaggi competitivi di Chronicle SIEM risiede nella sua politica di licenza, che si basa non sul numero di eventi al secondo o di storage utilizzato, ma sul numero di utenti protetti. Questo approccio innovativo rende la soluzione più accessibile e flessibile e offre al Re@ck Security Center la possibilità di fornire un servizio di monitoraggio più efficace. Grazie all’enorme volume di dati rilevanti raccolti ed elaborati, il sistema è in grado di riconoscere la minaccia effettiva (o meno) degli allarmi attivati.
Google Chronicle SIEM rappresenta uno strumento altamente efficace per le analisi di sicurezza, in grado di elaborare, arricchire e visualizzare gli eventi in modo ottimale per gli analisti del Re@ck Security Center. Inoltre, lo strumento di Threat Intelligence consente rapidamente il rilevamento e la classificazione degli Indicator of Compromise (IoC), mentre il log enrichment, con dati contestuali su utenti e asset, consente agli analisti del Re@ck Security Center di presentare al cliente eventi già significativi dal punto di vista delle valutazioni dei rischi di business.
Inoltre, Chronicle SIEM è nativamente integrato con una soluzione di Security Orchestration, Automation and Response (SOAR) che consente l’automazione della fase di risposta attraverso l’integrazione con oltre 200 soluzioni per l’arricchimento dei dati analizzati e l’esecuzione di azioni di contenimento e mitigazione.
Il nuovo modo di fare Security Operation: Re@ck Security Center
Dopo un decennio di consulenza sulla sicurezza delle organizzazioni che operano in tutti i principali settori, abbiamo notato un importante cambiamento nella percezione che il top management ha rispetto alle minacce informatiche. La necessità attuale è quella di mitigare efficacemente e rapidamente i rischi e i danni informatici, risparmiando tempo e sforzi accelerando e automatizzando le azioni di analisi e risposta. In Google Cloud abbiamo individuato il partner più adatto per realizzare un security operation center innovativo, combinando la tecnologia Google alla nostra esperienza di consulenti e analisti.
I servizi del Re@ck Security Center con tecnologia Google possono essere integrati con tutti i servizi di BIP CyberSec, ad esempio War Room Management, Digital Forensics, Intelligence Services (VIP Monitoring, Data and Credential Leak Monitoring, Anti-phishing, Brand Monitoring), per fornire un servizio di Security Operation end-to-end.
Grazie all’automazione del rilevamento e della risposta agli eventi noti, gli analisti del Re@ck del Security Center può investire il tempo risparmiato in attività più utili, la più importante delle quali è il Threat Hunting, ovvero la ricerca di potenziali minacce non ancora note.
Scopri di più sul nostro nuovo Re@ck Security Center!
