Il coinvolgimento dell’automazione nel campo della sicurezza informatica è innegabile, ma si tratta di un tema che solleva frequente confusione. Scopriamo come movimentarsi in questo scenario complesso.
L’automazione nella cyber security è una realtà indiscussa. Il problema è che, troppo spesso, viene percepita come una soluzione miracolosa contro l’aumento degli attacchi informatici. “L’automazione in sicurezza informatica non è un assoluto toccasana. È uno strumento potente che offre vantaggi straordinari, se utilizzato correttamente,” ci spiega l’esperto di cyber security Benjamin Leroux. “Noi di Advens, con mySOC, crediamo nell’automazione controllata, implementata all’interno di perimetri ben definiti, per semplificare le attività di poco valore e permettere ai nostri team di fornire supporto e competenze ancora maggiori ai nostri clienti”. Alessandro Rossi, CEO di Advens Italia, aggiunge: “Come tutti gli strumenti di difesa estremamente efficaci e potenti, l’automazione deve essere compresa e gestita con cura”.
Però, alcuni individui promuovono la narrazione dell’automazione come panacea per mascherare le sue limitazioni, che possono compromettere gravemente la qualità del servizio. Advens propone una visione di automazione unica e la implementa attraverso il proprio Security Operations Center (SOC).
Automazione nella Cybersecurity: Oltre l’Hype
Spesso l’automazione nella sicurezza informatica viene ridotta a un concetto di marketing – SOAR, che descrive le azioni una volta eseguite manualmente dagli analisti informatici che ora possono essere automatizzate. L’adozione dell’automazione è diventata cruciale per:
- Valutare e rispondere rapidamente a determinati incidenti di sicurezza quando ogni minuti può fare la differenza, ad esempio nel caso degli attacchi ransomware
- Ottimizzare il tempo degli esperti, prevenendo la fatica e limitando le attività ripetitive e dispendiose in termini di tempo
Aspettative Alte vs Promesse: Un Circolo Potenzialmente Vizioso
Di fronte a una minaccia crescente e a attacchi sempre più rapidi e sofisticati, le aziende hanno elevato le aspettative sulla loro protezione informatica, in particolare i tempi di reazione e gli avvisi pertinenti. In risposta a queste aspettative, gli editori di software sono inclini a offrire soluzioni velocizzate, che struggono nel mantenere le loro promesse. Queste soluzioni ipervendute servono principalmente a permettere agli analisti di valutare gli avvisi di minaccia in modo più rapido, ma non sono altrettanto utili nel rispondere agli incidenti.
Limiti dell’Automazione in Sicurezza Informatica
- Limitazioni tecniche: Possiamo automatizzare le azioni di rilevamento, classificazione e identificazione. Però, l’esecuzione delle azioni correttive dipende dall’orchestrabilità delle soluzioni tecniche dei clienti, ausiliata dalla presenza di un’API per amministrare la tecnologia interessata. Inoltre, è fondamentale garantire la scalabilità di una soluzione di orchestrazione, in modo che possa gestire più automazioni.
- Mancanza di contesto: Per automatizzare il processo decisionale, ci vogliono contesto, modelli ripetibili e controllati. Ma tenere aggiornati e completi i repository di contesto è pressoché impossibile! Le informazioni sono spesso disperse e incomplete, o addirittura solo nella testa degli esperti interni alle organizzazioni. E l’automazione della sicurezza informatica non è (ancora) telepatica.
- Lunghi processi di approvazione: È possibile stabilire strategie di reazione automatica all’interno di aree specifiche che il cliente ha validato, ma spesso è necessaria l’approvazione per poter intraprendere azioni concrete.
Un Approccio Rivoluzionario di Advens
In Advens, la gestione di un incidente di sicurezza è un processo composto da diverse fasi, ognuna delle quali può essere ottimizzata grazie all’automazione, alla Cyber Threat Intelligence (CTI) e ai dati di background, integrati già nella fase primaria della gestione degli incidenti. Questa strategia incentrata sui dati permette di risparmiare tempo nell’analisi e di limitare il numero di avvisi. In più, l’automazione viene progettata per ottimizzare il flusso di lavoro e automatizzare le attività triviali o costose degli analisti.
L’approccio di Advens dona cruciali vantaggi ai finali utenti: processi di gestione degli incidenti ottimizzati in ogni fase, tempi di bonifica e classificazione abbreviati, tassi ridotti di falsi positivi e una visione adattiva e in evoluzione della sicurezza informatica.