Un approfondimento sul primo anno di operazioni di automazione SOC

È passato poco più di un anno da quando SOC Prime si è posta la sua missione attuale: portare efficienza nelle tecnologie di Cyber Security più sofisticate attraverso l’automazione, il consolidamento delle conoscenze e la fusione delle tecnologie di mercato leader esistenti. Usando frasi di tendenza, abbiamo affermato che avremmo reso la “Cyber Security attuabile” attraverso l’automazione del rilevamento delle minacce conosciute e fornendo strumenti e permettendo di liberare FTE per combattere quelle sconosciute. E mentre molte aziende là fuori si sforzano per lo stesso scopo, crediamo che nessuna soluzione o organizzazione singola possa combattere i nemici da sola e c’è chiaramente bisogno di un sistema di difesa collettivo. Bene, sono orgoglioso di annunciare che oggi abbiamo completato i nostri primi passi per realizzare questo obiettivo. È oggi che SOC Prime annuncia l’unificazione dei nostri due prodotti core, Predictive Maintenance per SIEM e Integration Framework, sotto una singola piattaforma per la gestione della Sicurezza e dell’Intelligence.

Oggigiorno possiamo affermare fermamente che la velocità attuale di rilevamento delle violazioni della sicurezza può essere migliorata e può essere drasticamente inferiore ai famigerati 200 giorni. E una delle prime risposte risiede nell’automazione di molte operazioni di routine di un SOC moderno e nel fusione delle tecnologie che sono state a lungo stabilite nel settore. Come molti di voi, il nostro team ha passato anni nelle operazioni di prima linea delle implementazioni di SIEM e come molti di voi, abbiamo attraversato tutte le avventure e sfide della scrittura di parser, dello sviluppo di Use Case, del dimensionamento, della delimitazione, della ricerca di soluzioni alternative e facendo fare a questi sistemi complessi ciò per cui sono stati progettati – rilevare gli incidenti di sicurezza! Ora, se pensiamo a questo per un momento, un rilevamento accurato dipende da molteplici fattori tra cui: disponibilità di dati di log e feed esterni, qualità dei dati consumati da SIEM che inizia con una corretta analisi dal momento in cui viene estratto dalla fonte di log e termina con la categorizzazione e l’arricchimento, prestazioni della piattaforma stessa che richiede un’attenzione costante del suo amministratore, accuratezza delle informazioni su asset e rete e, infine, ma non meno importante, la sicurezza del sistema SIEM stesso.

Tutto questo è stato un lavoro manuale approfondito per oltre un decennio, e tutto questo sta ora cambiando mentre applichiamo strumenti più avanzati per rendere il nostro lavoro quotidiano più facile e utilizzare le nostre risorse in modo più efficiente. Questo è ciò per cui è costruito il nostro modulo Predictive Maintenance: migliorare la visibilità nel cuore del tuo SOC e darti piena visione e risposte immediatamente, proprio quando ne hai bisogno. Non ci saranno più dubbi o margini di errore su se un SIEM ha catturato i dati di cui hai bisogno e può fornirli quando necessario; ora puoi fare affidamento sui fatti e vedere un quadro completo in qualsiasi momento.

Tuttavia, il SIEM stesso è solo un pezzo di un’infrastruttura di sicurezza solida e necessita di interconnettersi con una pletora di dispositivi e tecnologie di sicurezza. Come notato da SANS all’inizio del 2015, più del 52% delle aziende ha risposto al sondaggio SOC affermando di avere poca visibilità nelle configurazioni e vulnerabilità dei loro asset, il che riduce in turn l’efficienza della risposta agli incidenti. Sebbene i sistemi di gestione delle vulnerabilità e valutazione della conformità siano in circolazione dal 1999 e abbiano raggiunto un grande successo sia in accuratezza che velocità nell’eseguire il loro lavoro, c’è ancora un divario nell’operazionalizzarli quando si tratta di SOC. E questo divario è colmato attraverso la piena integrazione delle tecnologie di gestione delle vulnerabilità con il SIEM, ed è quindi una delle prime cose di cui ci siamo occupati tramite il nostro Integration Framework.

Insieme ai nostri primi clienti e partner, ora dimostriamo nella pratica che il framework è la base per il monitoraggio continuo delle vulnerabilità e degli asset. Ora qualsiasi azienda nel mondo può automatizzare la gestione delle vulnerabilità, le operazioni della piattaforma di valutazione della conformità e configurazione nel suo SOC. Poiché non tutte le aziende sono le stesse per quanto riguarda dimensioni, infrastruttura, specificità del settore e regolamenti, abbiamo sviluppato la nostra piattaforma per essere disponibile a tutti tramite edizioni pure SaaS e on-premise, distribuibile su piattaforme di virtualizzazione VMware ESXi, Microsoft HyperV, Amazon AWS, KVM e Proxmox. Tuttavia, l’integrazione e l’automazione porteranno la sicurezza nel suo insieme al livello successivo di evoluzione? Non ancora, e abbiamo molto altro in arrivo nei prossimi mesi. Rimanete sintonizzati per gli aggiornamenti!