Si chiama 2023 State of Threat Detection - The Defenders’ Dilemma il nuovo report di Vectra AI che evidenzia come l’approccio alle Security Operations così com’è impostato oggi non sia più sostenibile. I campanelli di allarme sono molti e indicano tutti lo stesso problema: indagare e bloccare rapidamente i cyberattacchi sta diventando insostenibile. I motivi sono legati allo skill gap, al sovraccarico degli analisti disponibili, alla mole ingestibile di alert da controllare e a tutto ciò che ne consegue.

I dati contenuti nel report sono frutto delle interviste a 2.000 analisti SecOps e sono a dir poco preoccupanti. Il 71% degli interpellati ammette che l’azienda per cui lavora potrebbe essere stata compromessa, ma nessuno se n’è ancora accorto. Il 97% teme di perdere un evento di sicurezza rilevante perché “sepolto” da una marea di alert. Il 34% degli analisti che stanno pensando di lasciare il proprio ruolo o lo stanno già lasciando, sostiene di non avere gli strumenti necessari per garantire la sicurezza della propria organizzazione.

Tutte queste considerazioni (più altre presenti nel report) sono frutto di una situazione al limite che Vectra mette bene a fuoco: nel mondo mancano 3,4 milioni di analisti; quelli esistenti sono allo stremo, dato che i team SOC ricevono 4.484 alert al giorno e passano quasi tre ore della propria giornata a gestirli manualmente. Nonostante l’impegno, l’impresa è ardua e gli analisti stessi ammettono di non essere in grado di gestire il 67% degli alert quotidiani.

Ovviamente questa è la punta dell’iceberg perché dietro alla situazione che si è venuta a creare ci sono la superficie di attacco in continua espansione (cloud, IoT, Industry 4.0), i metodi di attacco altamente evasivi messi in opera dagli attaccanti e un numero di piattaforme di security in crescita per cercare – nel modo peggiore – di guadagnare l’agognata visibilità che invece si va a perdere man mano che si complica la gestione. Tutto concorre a impennare la quantità di dati prodotti che debbono essere analizzati.

La rassegnazione sta prendendo piede, tanto che il 41% degli intervistati ritiene che il sovraccarico di alert sia la norma. Una situazione fortemente scoraggiante, che ha portato il 67% degli intervistati a pensare di lasciare o di stare lasciando il proprio lavoro. Inoltre, il 52% degli interpellati ritiene che lavorare nel settore della sicurezza non sia un’opzione di carriera praticabile sul lungo termine.

Dove si sta sbagliando

Un cambio di rotta è inevitabile, lo studio di Vectra mette a fuoco alcuni nodi da sciogliere per poterlo fare. Il 38% degli analisti intervistati sostiene che gli strumenti di sicurezza vengano acquistati dalla propria azienda per soddisfare i requisiti di compliance e non per semplificare loro il lavoro. Il 47% del campione chiede legittimamente di essere consultato dal team IT prima di investire in nuovi prodotti. Inoltre, il 41% degli analisti reputa che l’alto numero di alert sia dovuto anche al fatto che i vendor hanno paura di non segnalare un evento che potrebbe rivelarsi importante.

Nelle conclusioni gli esperti di Vectra sottolineano che le aziende devono concentrarsi su ciò che possono controllare, e questo non include la superficie di attacco. Sembra inaccettabile, ma in realtà è questa la chiave per sganciarsi dall’approccio alla security ormai superato e basato sui perimetri, per affacciarsi a una nuova security più efficiente ed efficace. Nel nuovo paradigma l’automazione è l’alleato degli analisti, con AI e Machine Learning che svolgono il lavoro routinario di analisi degli alert a velocità macchina. Ciò comporta almeno tre vantaggi: alleggerire la pressione sugli analisti, ottenere una maggiore efficacia in termini di velocità nella detection e response e sottoporre all’attenzione degli analisti solo quegli eventi che effettivamente corrispondono ad attacchi reali. Ciascun vendor declina questo concetto a modo proprio sulla propria offerta. Nel caso di Vectra, che propone una soluzione NDR, l’AI è impiegata per catturare il traffico dati e analizzarne il comportamento riportando quello malevolo a una tecnica di attacco nota.