Il terzo trimestre del 2024 ha segnato un nuovo record per gli attacchi informatici, ma non di quelli da celebrare. Il numero medio di attacchi settimanali per organizzazione è aumentato del 75% su base annua (YoY), con un incremento del 15% rispetto al secondo trimestre del 2024.
Con la crescente frequenza e sofisticazione delle minacce, e il continuo aumento del costo di una violazione dei dati – che è aumentato del 10% nel 2024 secondo IBM – la mentalità dei leader della cybersecurity deve evolversi. La mentalità di “è solo una questione di tempo” dovrebbe diventare lo standard. La realtà che affrontiamo richiede un’azione urgente.
Anni fa, una soluzione di Managed Detection and Response (MDR) combinata con un Security Information and Event Management (SIEM) esternalizzato poteva essere sufficiente. Tuttavia, oggi non è più abbastanza. Le soluzioni obsolete, rigide e frammentate devono essere sostituite, ma con cosa?
Costruire una Difesa Più Forte: Il Ruolo delle Soluzioni Moderne
Proteggere l’infrastruttura complessa su cui si basano le organizzazioni moderne non richiede una pila eccessiva di strumenti di sicurezza. Piuttosto, l’attenzione dovrebbe concentrarsi sull’implementazione delle soluzioni giuste, quelle che sono flessibili, scalabili e in grado di adattarsi alle minacce in evoluzione e alla crescita aziendale.
Una di queste soluzioni è il Security Data Lake (SDL), progettato per raccogliere e analizzare i dati di sicurezza. Sebbene un SDL da solo possa fornire informazioni utili per identificare potenziali minacce, non costituisce una soluzione completa. Un MDR di nuova generazione, supportato da un SDL proprietario, riduce drasticamente i tempi di risposta agli incidenti, offre numerosi vantaggi operativi ed è una delle soluzioni più convenienti per rafforzare la sicurezza.
Cosa Rende Diversi i Security Data Lake?
Per comprendere i vantaggi degli SDL nella sicurezza moderna, è utile confrontarli con i tradizionali SIEM.
I tradizionali SIEM si concentrano principalmente sul monitoraggio in tempo reale, la gestione dei log e la correlazione dei dati di sicurezza. Tuttavia, presentano notevoli limiti. I SIEM richiedono dati strutturati e normalizzati per essere ingeriti, conservano i dati per un periodo limitato (solitamente meno di 90 giorni) e hanno difficoltà a gestire volumi di dati enormi e una crescita rapida dei dati.
Al contrario, gli SDL sono progettati per essere scalabili, in grado di ingerire e archiviare enormi volumi di dati sia strutturati che non strutturati, provenienti da fonti di sicurezza e non. Questo amplia la visibilità, facilita l’analisi a lungo termine e supporta il riconoscimento dei modelli. Le capacità avanzate di analisi, machine learning (ML) e intelligenza artificiale (AI) migliorano la capacità dell’SDL di rilevare minacce in tempo reale e facilitare indagini più rapide. Gli SDL sono più adattabili e pronti per il futuro rispetto ai loro omologhi SIEM.
L’Impatto degli SDL sui Tempi di Risposta agli Incidenti
Sebbene il report IBM del 2024 abbia evidenziato una riduzione dei tempi medi per identificare e contenere una violazione – scendendo a 258 giorni rispetto ai 277 giorni del 2023 – il costo dei cicli di violazione più brevi è comunque aumentato del 3,6% su base annua. Data l’intensità crescente degli attacchi e il loro potenziale devastante, una risposta rapida agli incidenti (IR) non è mai stata così critica. Ogni minuto conta quando si tratta di contenere le minacce, e avere un SDL può significativamente contribuire in questo processo.
Ecco come gli SDL accelerano la risposta agli incidenti:
Raccolta Dati Migliorata: Un SDL può ingerire dati da varie fonti contemporaneamente, assicurando che nessuna informazione critica vada persa o non venga rilevata. Questa raccolta completa dei dati migliora la visibilità, essenziale in ambienti IT complessi.
Ottimizzazione dell’Archiviazione e Analisi: Gli SDL archiviano i dati grezzi nel loro formato nativo, consentendo interrogazioni e analisi flessibili senza richiedere trasformazioni complesse.
Rilevamento delle Minacce in Tempo Reale: Con l’analisi avanzata e gli algoritmi di machine learning, gli SDL identificano modelli e anomalie in tempo reale, attivando avvisi prima che si verifichino danni. Inoltre, eccellono nell’eliminare i falsi positivi, permettendo ai team di sicurezza di concentrarsi sulle minacce reali.
Facilitazione dell’Analisi Avanzata: Sfruttando modelli di ML addestrati sui dati dell’SDL, le organizzazioni possono prevedere minacce potenziali e adottare misure proattive, ottenendo un vantaggio nella difesa contro nuovi attacchi generati da AI.
Queste capacità migliorano notevolmente i tempi medi di rilevamento (MTTD) e risposta (MTTR) agli incidenti di sicurezza, contribuendo a ridurre il danno causato dalle minacce.
Vantaggi Operativi di MDR con SDL Proprietario vs. SIEM Esternalizzati
Sebbene sia le soluzioni MDR con SDL proprietari sia quelle con SIEM esternalizzati siano orientate a rafforzare la postura di sicurezza di un’organizzazione, ci sono vantaggi operativi distinti nell’utilizzare un SDL proprietario in una soluzione MDR.
Riduzione della Latenza per il Monitoraggio e la Risposta in Tempo Reale: Un MDR con SDL interno elimina la necessità di indirizzare i dati attraverso piattaforme esterne. Questa riduzione della latenza porta a tempi di rilevamento e risposta più rapidi, consentendo alle organizzazioni di mitigare le minacce più velocemente.
Maggiore Privacy e Controllo dei Dati: Un SDL proprietario consente alle aziende di avere un maggiore controllo sul trattamento dei dati, sulla loro archiviazione e sulle politiche di sicurezza, offrendo maggiore protezione rispetto alle piattaforme di terze parti. La gestione dei dati in ambienti controllati con crittografia e protocolli di accesso sicuri è particolarmente importante per settori come la finanza e la sanità, che devono rispettare normative rigorose sulla sicurezza dei dati.
Politiche di Conservazione Dati Ottimizzate per la Conformità: Le aziende con un SDL proprietario possono stabilire politiche di conservazione dati flessibili che rispettano le normative di settore come GDPR, HIPAA e CCPA, garantendo opzioni di archiviazione a lungo termine e audit trail completi, riducendo i rischi di conformità e le possibili sanzioni.
Proprietà Completa dello Stack di Sicurezza: Possedere l’intero stack di sicurezza, dalla raccolta dei dati all’allerta, assicura che i componenti siano ottimizzati e lavorino in modo coeso, portando a un’esperienza più fluida, minori errori e una migliore rilevazione delle minacce. A differenza di una soluzione costruita con più strumenti di terze parti, uno stack integrato e a fonte unica produce flussi di lavoro più semplici, una maggiore integrità dei dati e risposte più efficienti, rafforzando la postura di sicurezza complessiva dell’azienda.
Rilevamento delle Minacce Più Rapido e Personalizzato con Correlazione Dati Ricca: Un SDL proprietario consente l’ingestione personalizzata dei log, l’elaborazione e la correlazione in tempo reale, adattata alle esigenze specifiche dell’organizzazione. Questo approccio crea correlazioni uniche e specifiche per l’azienda, migliorando la velocità di rilevamento e l’accuratezza degli avvisi, riducendo la fatica da allerta.
Visibilità Completa dei Dati e Indagini Trasparenti: Gli SDL proprietari archiviano i log grezzi e i dati storici senza le limitazioni esterne, fornendo alle organizzazioni accesso completo a informazioni passate e presenti. La trasparenza completa consente alle organizzazioni di condurre indagini approfondite. La visibilità completa supporta le analisi forensi e la caccia alle minacce retrospettiva e rafforza la conformità, garantendo che i dati siano completi e sempre accessibili.
Il Rapporto Costo-Efficacia degli MDR con SDL Proprietari
Oltre ai vantaggi operativi, una soluzione MDR con SDL proprietario presenta diverse opportunità di risparmio sui costi rispetto a una basata su un SIEM esternalizzato:
Scalabilità e Flessibilità: Le soluzioni MDR con SDL scalabili si adattano facilmente alle esigenze aziendali senza richiedere costosi aggiornamenti dell’infrastruttura.
Gestione Efficiente dei Dati: Centralizzando tutti i dati di sicurezza, le organizzazioni possono eliminare la necessità di più strumenti e integrazioni, riducendo i costi operativi e IT.
Miglior Rilevamento delle Minacce: Una più rapida identificazione e mitigazione delle minacce riduce i tempi di inattività e l’impatto finanziario di una violazione.
La Sicurezza Reattiva è un Errore Costoso
Un report di Forrester ha rilevato che dopo aver subito una violazione, il 42% delle organizzazioni ha aumentato la spesa per le tecnologie di IR quando erano coinvolti dati personali e il 46% ha fatto lo stesso quando erano coinvolti dati aziendali. Queste aziende non solo hanno dovuto affrontare i costi di nuove soluzioni tecnologiche, ma anche quelli derivanti dalla violazione stessa.
Le organizzazioni che si affidano a soluzioni con SIEM esternalizzati potrebbero adottare un approccio reattivo di “aspettare e vedere”, con costi elevati. D’altra parte, adottando una soluzione MDR con SDL proprietario, le aziende migliorano proattivamente la risposta agli incidenti, mitigano i rischi finanziari e aumentano l’efficienza operativa. I vantaggi di quest’ultima soluzione sono evidenti.
