Nell’IDC InfoBrief The Voice of the Analysts: Improving Security Operations Center Processes Through Adapted Technologies, condotto su 350 analisti e responsabili della sicurezza e service provider di sicurezza gestita (MSSP), si rileva che gli analisti di sicurezza stanno diventando meno produttivi a causa della ormai diffusa “stanchezza da alert” che si traduce in alert ignorati, maggiore stress e paura di non rilevare una minaccia.
Per migliorare la soddisfazione e l’efficacia lavorativa, il report ha anche identificato le principali attività che gli analisti ritengono sia meglio automatizzare, per meglio proteggere i loro SOC (Security Operations Center).
“Gli analisti di sicurezza – ha dichiarato Chris Triolo, Vice President of Customer Success di FireEye – sono sommersi da un numero altissimo di alert falsi positivi, provenienti da differenti soluzioni e sono sempre più preoccupati di non riuscire a individuare una reale minaccia. Per risolvere queste problematiche, gli analisti richiedono strumenti di automazione avanzati, come Extended Detection and Response, che possano aiutare a ridurre il timore di non riconoscere una minaccia, rafforzando al contrario il livello di sicurezza informatica del loro SOC”.
Crescono gli alert e i falsi positivi
Mentre gli analisti e i responsabili della sicurezza IT ricevono migliaia di alert al giorno, gli intervistati hanno affermato che nel 45 percento dei casi gli alert in realtà sono dei falsi positivi, il che rende l’attività degli analisti in azienda meno efficiente, con un rallentamento dei processi lavorativi. Per gestire il sovraccarico di alert nel SOC, il 35% ha dichiarato di ignorare gli alert.
Gli MSSP passano ancora più tempo a esaminare i falsi positivi e ignorano un maggior numero di alert: gli analisti MSSP hanno indicato che nel 53% dei casi gli alert che ricevono sono falsi positivi. Il 44% degli analisti dei fornitori di servizi gestiti (MSSP) afferma di ignorare gli alert quando la coda è troppo lunga; questo atteggiamento potrebbe esporre a una violazione, coinvolgendo un maggior numero di clienti.
Il timore di non riuscire a individuare gli incidenti
Poiché gli analisti hanno maggiori difficoltà a gestire manualmente gli alert, aumenta anche la loro preoccupazione di non essere in grado di rilevare una minaccia: tre analisti su quattro sono preoccupati per le minacce non rilevate, mentre per uno su quattro questa preoccupazione è “elevata”.
Eppure tale timore sta mettendo a dura prova i responsabili della sicurezza ancor più dei loro analisti: più del 6% dei responsabili della sicurezza ha riferito di aver perso il sonno per la paura di trascurare una minaccia.
Il ruolo delle soluzioni SOC automatizzate
Meno della metà dei team di sicurezza aziendali sta attualmente utilizzando strumenti per automatizzare le attività del SOC: gli intervistati hanno indicato i principali strumenti che utilizzano per indagare sugli alert e meno della metà di loro utilizza l’intelligenza artificiale e le tecnologie di machine learning (43%), gli strumenti di Security Orchestration Automation and Response, SOAR (46%), il software Security Information and Event Management, SIEM (45%), il Threat Hunting (45%) e altri prodotti di sicurezza. Inoltre, solo due analisti su cinque utilizzano l’intelligenza artificiale e le tecnologie di machine learning insieme ad altri strumenti.
Per gestire i loro SOC, i team di sicurezza necessitano di soluzioni automatizzate avanzate per ridurre la “stanchezza da alert” e migliorare il successo, concentrandosi su attività più di alto profilo come il threat hunting e le investigazioni informatiche: nel classificare le attività che è meglio automatizzare, all’interno della wish list degli analisti, il rilevamento delle minacce mostra il dato più elevato (18%), seguito dalla threat intelligence (13%) e dall’incident triage (9%).
