Troppi allarmi e falsi positivi: così la sicurezza diventa inefficiente

pittogramma Zerouno

Attualità

Troppi allarmi e falsi positivi: così la sicurezza diventa inefficiente

I sistemi di sicurezza, e soprattutto il personale che se ne occupa, sono soverchiati da un numero sempre crescente di allarmi, che minano alla base l’efficienza delle contromisure.

15 Nov 2022

di Massimiliano Monti

Nell’ambito della cybersecurity, ma più in generale dell’informatica, c’è un convitato di pietra: l’operatività quotidiana. In termini generali, con questo termine ci si riferisce di solito ai piccoli guasti e ai malfunzionamenti, ma nel campo della sicurezza si tratta soprattutto di warning da monitorare, avvisi, aggiornamenti dei sistemi e simili. “Un carico di lavoro che spesso diventa soverchiante, arrivando non solo ad assorbire l’interezza delle risorse a disposizione, ma andando a creare un ‘debito’ impossibile da saldare” sottolinea Gian Marco Pizzuti, Area Vice President di Splunk.

Parlando di cybersecurity, il quadro che Pizzuti ci disegna è tutt’altro che incoraggiante. Secondo i dati raccolti globalmente da Splunk, a oggi il 74% dei ticket di sicurezza rimane inevaso. Per una volta, insomma, il problema non è solo italiano, anzi. All’estero è stato coniato un termine per definirlo: Alert Fatigue.

Difendersi dal fuoco di fila

Oggi ogni azienda è bersaglio di decine di numerosi attacchi, anche su base giornaliera. Molti di questi derivano da minacce di scarsa entità, ma che comunque generano avvisi e warning nei sistemi di sicurezza. Un flusso continuo, che spesso fa perdere di vista le minacce reali e più critiche. È in questo contesto che si colloca il fenomeno della Alert Fatigue.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity

“Dal punto di vista privilegiato di Splunk, siamo riusciti a mettere a fattor comune il fenomeno a livello globale. Il 74% di ticket inevasi citato nella nostra ricerca deve essere messo in relazione con un altro dato importante. Oggi il 70% degli attacchi sono mirati e di questi il 40% è costituito da eCrime”. Il rischio che fra le maglie dei problemi inevasi passi un attacco organizzato e finalizzato al lucro, insomma, è piuttosto elevato. Pizzuti ci ricorda anche che oggi gli attaccanti sono strutturati come vere e proprie organizzazioni criminali, che agiscono in modo raffinato. Per esempio, anche gli attacchi apparentemente goffi, come i messaggi di phishing sgrammaticati, sono in realtà progettati appositamente per colpire gli interlocutori più ingenui.

Conquistare l’efficienza necessaria

Il mantra dell’efficienza, presente a tutti i livelli aziendali, è fondamentale anche nella sicurezza, anche e soprattutto a causa della cronica mancanza di risorse nella cybersecurity. A questo proposito, Pizzuti ci invita a una interessante riflessione, basata su tre punti.

Il primo è la presenza di troppi processi manuali e monotoni, cui si può dare una risposta attraverso l’automatizzazione. Il secondo, da non sottovalutare, è la carenza di orchestrazione: ogni vendor propone soluzioni che eccellono in qualche segmento della protezione, ma non esiste un vero e proprio coordinamento, né a livello operativo né a livello di raccolta dati. Un problema prioritario, che Splunk si offre di risolvere con le proprie soluzioni. Il tema SOAR (Security Orchestration, Automation and Response), insomma, è quantomai attuale perché ancora poco praticato, mentre sarebbe invece indispensabile per sfruttare appieno le risorse.

Infine, il terzo elemento è l’aumento della complessità della superficie di attacco, accelerato dagli effetti della pandemia: le situazioni ibride, BYOD e in generale un accesso meno rigido alle risorse aziendali ha reso lo scenario ancora più complesso.

Questa “ricetta esplosiva” comporta la necessità di liberare gli operatori dalla Alert Fatigue. “Una investigazione può richiedere da pochi minuti ad alcuni giorni” sottolinea Pizzuti, ponendo l’accento su come sia impraticabile destinare il giusto tempo a queste attività quando si è soverchiati da tre quarti dei ticket inevasi.

Liberare le persone dalle incombenze ripetitive e a scarso valore aggiunto significa anche garantire tempi di risposta più brevi in presenza di minacce significative. Questo perché le persone, oltre a poter dedicare il giusto tempo alle attività rilevanti, saranno anche più soddisfatte, tecnicamente preparate e motivate.

Valorizzare le risorse umane, anche attraverso l’automazione

Il problema dei task ripetitivi, infatti, non è esclusivamente operativo, ma anche motivazionale. Avere esperti di sicurezza costretti a evadere ticket di bassa rilevanza ha un impatto positivo anche sulla people retention, cioè sulla volontà delle persone a rimanere in azienda. Nel lungo termine, ha impatti positivi anche sulla loro preparazione: uscire dalla ripetitività permette di affrontare sfide nuove, documentarsi e apprendere, anche sul campo.

Proprio sulle competenze, Splunk ritiene di doversi fare parte attiva: realizza percorsi dedicati all’orchestrazione della cybersecurity con gli atenei e ha introdotto la figura del cyber trainer con lo scopo di formare le risorse aziendali.

Tutto questo in una visione che, in termini generali, sembra avere molto dell’approccio olistico di cui si parla spesso: da un lato la gestione del personale diventa anche un tema di business resilience, nel quale conservare le persone favorisce la continuità operativa. Dall’altro è possibile valorizzare le persone anche trasformandone le competenze.

“I ruoli stanno cambiando. Secondo noi, per esempio, il data scientist deve evolversi in Machine Learning scientist o in business resilience scientist” suggerisce Pizzuti. Insomma, da persona che analizza i dati, a persona che costruisce modelli e infrastrutture per analizzarli.

L’Intelligenza Artificiale e gli altri strumenti di analisi avanzata, insomma, diventano strumenti per alzare l’asticella della protezione. Attraverso questi, per esempio, è possibile spostarsi nella sicurezza predittiva. Sia grazie al migliore impiego delle risorse umane, sia attraverso un impiego sempre più avanzato dei dati raccolti dai diversi strumenti. Questo ci porta all’ultimo punto fondamentale, l’integrazione.

Un approccio efficace all’integrazione

Spesso l’attenzione per il valore dei dati, declinata anche in frasi a effetto come la celebre “I dati sono il nuovo petrolio”, rischia di rimanere una semplice dichiarazione di principio. Perché in fondo l’elemento differenziante non è la quantità dei dati e nemmeno la loro qualità, entro certi limiti, ma la capacità di utilizzarli come strumento. Una posizione che, secondo Pizzuti, coincide con la mission di Splunk.

“Il ruolo di Splunk è dare alle aziende la capacità di osservare e capire cosa sta succedendo in real time, per permettere agli analisti di potersi concentrare e trasformare il dato in azione” sottolinea.

Per non perdersi nel mare dell’osservazione entra in gioco l’AI. Nel campo della cybersecurity, per esempio, per identificare schemi di attacco. “Gli esseri umani sono naturalmente pigri, e i cyber criminali non rappresentano un’eccezione” spiega Pizzuti. “Dai dati è possibile ricavare indicatori che permettono di predire se una determinata situazione può diventare una compromissione. Oggi i veri attacchi pericolosi sono fileless e per identificarli ci si basa spesso sugli indicatori di compromissione che però arrivano quando la compromissione c’è già stata. Diverso il discorso se si riesce a osservare gli schemi di attacco e agire in modo preventivo o predittivo”. In questo contesto, la responsabilità dell’automazione è quella di affidare il workflow operativo per dare all’umano materiale rilevante. L’umano esperto ne trae poi le dovute considerazioni.

Per arrivare a questo obiettivo è necessaria una convergenza sempre più completa sui dati. Per Splunk questo significa mettere in relazione cybersecurity e observability. Per farlo, dalle parti di Splunk suggeriscono l’uso di un componente di SIEM e una soluzione di SOAR, che si possono integrare con componenti di user monitoring e system monitoring. Anche in comportamento degli utenti, che può fornire indicazioni importanti sulle compromissioni. Sempre in termini di convergenza, gli esperti di Splunk sottolineano l’importanza di correlare la cybersecurity con una analisi più approfondita dell’infrastruttura, anche, per esempio, in termini di prestazioni delle applicazioni.

Questo permette di capire rapidamente quali problemi sono realmente legati alla sicurezza e quali ad altri ambiti, per esempio bug del software o problemi tecnici, e rispondere sempre nel modo più adeguato. Analizzando tutte le casistiche, e trasformando i dati in azione, è possibile aumentare l’efficienza e soprattutto ridirigere verso altri dipartimenti le problematiche che non richiedono un intervento degli operatori di Cybersecurity.

M

Massimiliano Monti

Articolo 1 di 5