Gli analisti di threat intelligence (TI) sono uno dei gruppi di esperti più importanti all’interno dei SOC (Security Operations Center). Hanno, infatti, il compito di identificare i vettori di attacco che minacciano l’organizzazione e definire la strategia difensiva della propria azienda. Inoltre, aiutano gli altri membri del team a prendere decisioni informate sulle minacce. Tuttavia, la gestione di un’enorme mole di dati e di compiti ripetitivi richiede un livello molto alto di attenzione e spesso questa attività rende gli esperti di TI inclini al burnout. Gli analisti di TI sono, inoltre, tra le figure professionali nel campo della sicurezza informatica più difficili da reperire. Per questo motivo, molte aziende sono a corto di personale, e questo provoca un’ulteriore pressione sui membri dello staff.
Le aziende sono alla ricerca di alternative che consentano di non sovraccaricare ulteriormente questi professionisti. Infatti, per poter compensare la mancanza di competenze, vengono adottate soluzioni quali l’assunzione di tirocinanti per svolgere lavori semplici o l’implementazione di soluzioni dotate di Intelligenza Artificiale. Tuttavia, questi metodi presentano delle criticità.
Tirocinanti: investimento a lungo termine ma non una soluzione immediata
È convinzione comune che un’azienda possa supportare il proprio personale e ridurre il carico di lavoro assumendo un certo numero di tirocinanti. Secondo questa teoria, mentre gli apprendisti si occupano di compiti semplici, gli esperti possono dedicare il loro tempo a questioni complesse.
Nella realtà, però, questo approccio spesso non funziona. Lo abbiamo constatato grazie a un programma di stage nel dipartimento Security Services Analysis di Kaspersky, che, nell’ambito del servizio di Digital Footprint Intelligence, fornisce ai clienti informazioni personalizzate sulle minacce.
Prima di tutto, il processo di selezione deve essere accurato. Un tirocinante che non possiede le competenze di base del settore in cui lavorerà non sarà in grado di svolgere le mansioni che gli verranno assegnate. Oltre a conoscere il settore della sicurezza informatica, una persona dovrebbe essere motivata, lavorare sodo, ed essere in grado di imparare e raggiungere risultati. Pertanto, trovare tirocinanti adeguati richiede del tempo. In secondo luogo, gli stagisti tendono a cambiare spesso lavoro, un comportamento assolutamente normale quando si parla di giovani alle prime esperienze lavorative. Durante il nostro programma di stage SafeBoard abbiamo osservato che, il 45% dei partecipanti è stato assunto da Kaspersky alla fine del programma e continua a lavorare con noi, gli altri hanno lasciato volontariamente l’azienda.
Naturalmente, anche i tirocinanti più talentuosi e motivati hanno bisogno di un mentore che li consigli e li guidi nel loro lavoro. Tuttavia, condividere la propria esperienza professionale, impostare i compiti e controllare quelli completati può richiedere al mentore ancora più tempo di quanto non impieghi a svolgere il lavoro da solo. Di conseguenza, il carico di lavoro di un esperto può effettivamente aumentare.
Questo non significa che non sia opportuno assumere degli stagisti. Uno stage è il modo ottimale per formare internamente gli specialisti di cui si ha bisogno, ma questo richiede all’azienda un impegno notevole. Ecco perché è necessario pensare agli stagisti come ad un investimento a lungo termine piuttosto che come ad una soluzione immediata alla carenza di personale.
Automazione e Intelligenza Artificiale sono un aiuto ma le decisioni finali spettano alle persone
Un altro suggerimento per aiutare gli esperti a svolgere il proprio lavoro senza perdite di tempo è quello di dotarsi di strumenti di Intelligenza Artificiale. Rispetto a questa soluzione esiste, però, il timore che un giorno le soluzioni di sicurezza automatizzate possano sostituirsi ai security analyst. È davvero possibile automatizzare l’analisi TI al punto che non ci sia più bisogno di un team di security analyst?
In effetti, le soluzioni di sicurezza sono in grado di raccogliere dati, sia internamente che da fonti esterne, e offrono anche un’elaborazione preliminare e una categorizzazione efficace, facendo risparmiare tempo nella gestione di queste mansioni. Tuttavia, l’analisi delle informazioni provenienti da varie fonti, la loro correlazione, la comprensione dei rischi aziendali e le decisioni basate sui dati raccolti richiedono ancora competenze umane. L’indagine condotta alla RSA Conference di quest’anno lo conferma: il 60% degli intervistati si sente più sicuro dei risultati verificati dagli esseri umani piuttosto che di quelli generati dall’IA. Gli intervistati affermano che la creatività, l’esperienza pregressa e l’intuizione sono vantaggi sostanziali dell’approccio umano.
Inoltre, le soluzioni automatizzate a volte possono non funzionare correttamente o possono non essere applicate. Pertanto, durante un colloquio di lavoro, chiediamo agli analisti che ci dicano non solo quali soluzioni utilizzano o conoscono, ma anche i dettagli su come funzionano. Questo ci consente di mettere alla prova la competenza del candidato e ci rassicura sul fatto che se l’analista dovesse trovarsi in una situazione simile saprebbe come comportarsi.
Parlando di organizzazione della Threat Intelligence all’interno di un’azienda la soluzione più efficace sarebbe quella di bilanciare automazione e approccio umano all’analisi e di adottare report di TI che siano leggibili sia dalle macchine che dalle persone. L’efficacia dei report di TI leggibili dalle macchine dipende da quanto facilmente si riescano ad integrare con i controlli di sicurezza esistenti, oltre che dalla qualità dei dati. Un team deve, quindi, confrontare le offerte di diversi fornitori e scegliere tra questi i flussi di dati più consistenti. Inoltre, per indagare rapidamente sulle minacce, gli analisti hanno bisogno di accedere alle informazioni di base sulle minacce. Ad esempio, noi di Kaspersky disponiamo di un’esperienza ventennale in termini di minacce e forniamo anche l’accesso gratuito al Kaspersky Threat Intelligence Portal.
***
La notevole mole di lavoro di cui gli analisti TI devono farsi carico costituisce senz’altro un problema prioritario per il quale purtroppo non è ancora possibile suggerire una soluzione immediata. Ogni metodo inteso a non sovraccaricare gli analisti di TI richiede non solo investimenti economici ma anche di tempo, infatti, nella fase iniziale, questi metodi possono addirittura aumentare il carico di lavoro degli esperti. Pertanto, è necessario determinare chiaramente le priorità di un reparto di analisi TI, capire su cosa il team può lavorare nell’immediato e su cosa è disposto a investire nel lungo termine. Un approccio di questo tipo permetterà agli analisti di non venire sommersi da eccessive responsabilità e di ottenere invece ottimi risultati in futuro.
