Il SANS institute ha pubblicato la ricerca 2022 nella quale si esaminano i metodi utilizzati dai professionisti della sicurezza IT per rilevare le minacce informatiche nel modo più efficace.
Tra le altre cose, ai partecipanti e stata chiesta un’autovalutazione del grado di maturità dei sistemi di rilevazione delle minacce e una motivazione sintetica della valutazione. In molti casi le aziende si reputano non ancora completamente mature, in particolare per quanto riguarda la sensibilizzazione e la formazione del personale.
In relazione agli strumenti utilizzati, c’è una crescita dei sistemi di vulnerability management che riflette la consapevolezza del fatto che gli attaccanti possano sfruttare vulnerabilità note per introdursi nei sistemi.
I dati mostrano una collegamento tra le organizzazioni che si considerano non ancora adeguate quanto a metodi per la rilevazione e quelle insoddisfatte dei sistemi adottati. La cosa non sorprende, poiché in molti casi la scelta degli strumenti e delle tecnologie di difesa viene fatta prima di definire i processi e le metodologie relative.
In sintesi, quanto emerge sui temi principali è:
- il 51% dei partecipanti ritiene non ancora adeguati i propri sistemi di rilevazione delle minacce
- il 68% delle organizzazioni manca di adeguata formazione del personale
- il 62% utilizza strumenti di ricerca sviluppati internamente
- il 48% vorrebbero migliorare l’efficacia dei propri metodi in relazione all’uso di strumenti in cloud
- il 25% delle organizzazioni esternalizza le attività di analisi delle minacce
- il 68% delle organizzazioni che misurano le capacità di ricerca delle minacce ritengono di avere migliorato la propria “posizione” in termini di sicurezza tra il 25% e il 75%
- quasi la metà delle organizzazioni che adottano un sistema di ricerca delle minacce hanno notato un aumento dell’accuratezza nei risultati con una diminuzione dei falsi positivi
NB: Le aziende rappresentate per circa il 37% hanno meno di 1.000 dipendenti (considerate “small” in nordamerica), nel 18% dei casi hanno tra 1.000 e 5.000 dipendenti, nel 26% tra 5.000 e 50.000 e nei restanti casi più di 50.000.
Nel 31% dei casi si tratta di imprese del settore finanziario / bancario, nel 26% di imprese del settore IT o di fornitori di servizi di cybersicurezza.
GLI OSTACOLI ALLA DEFINIZIONE DI UNA STRATEGIA EFFICACE
Diversi partecipanti non ritengono di avere strategie di rilevazione delle minacce pienamente efficaci. I motivi sono:
- Mancanza di competenze all’interno dello staff (68%)
- Processi non ben definiti (48%)
- Problemi di budget (48%)
- Limiti degli strumenti disponibili (47%)
- Qualità o quantità dei dati disponibili (31%)
- Mancanza di informazioni sulle minacce (20%)
- Mancanza di dati standardizzati (19%)
- Mancanza di sostegno da parte del management (15%)
GLI STRUMENTI UTILIZZATI E IL LIVELLO DI SODDISFAZIONE
Quali sono i tools più utilizzati dai partecipanti?
- Sistemi di alert o prevenzione automatizzati quali IDS/IPS, SIEM, Endpoint detection and response (83%)
- Piattaforme di terze parti che sviluppano sistemi di ricerca delle minacce (66%)
- Strumenti personalizzabili sviluppati internamente (script, PowerShell, WMI, ecc…) (62%)
- Piattaforme specializzate acquistate da terze parti (53%)
- Sistemi di AI o machine learning per il miglioramento delle capacità di rilevazione delle minacce (50%)
- Sistemi di rilevazione open source (SIFT, SOF-ELK, Rekall, Plaso, ecc) (40%)
Qual è il livello di soddisfazione nell’utilizzo degli stumenti scelti?
