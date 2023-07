Security Operation Center travolti da valanghe di alert e stress Una ricerca di Vectra AI svela che il 97% degli analisti dei Soc ha paura di perdere un evento rilevante. In media, il 67% degli avvisi ricevuti ogni giorno non può essere gestito. Pubblicato il 19 luglio 2023 da Redazione

Una superficie d’attacco troppo ampia e difficile da controllare, assenza di visibilità, e quotidiane valanghe di alert che travolgono il personale dei Security Operation Center, incaricato del rilevamento e della risposta alle minacce. Questo è uno scenario diffuso e non nuovo, perché da anni le ricerche in tema di sicurezza informatica evidenziano problemi di frammentazione, scarsa visibilità ed eccesso di input, falsi positivi ed eventi irrilevanti tra cui gli elementi degni di nota si perdono.

La vera notizia è che, nonostante questi siano problemi diffusi e conosciuti, la situazione non sembra migliorare. Eppure le tecnologie di automazione e di intelligenza artificiale oggi disponibili sul mercato potrebbero fare molto per aiutare il personale dei Soc.



Gli ultimi dati sull’argomento sono quelli contenuti nel report “2023 State of Threat Detection” di Vectra AI, basato sulle interviste realizzate da Sapio Research su duemila analisti di sicurezza. Ne è emerso che, sebbene il 90% ritenga efficaci gli strumenti di rilevamento delle minacce in uso, quasi tutti (il 97%) temono di non accorgersi di un evento significativo, meritevole di attenzione.

Questo succede innanzitutto perché gli alert sono troppi: in media, nel campione d’indagine, quasi 4.500 al giorno (4.484) per ciascun Soc. Gli analisti passano quasi tre ore della propria giornata a gestire manualmente gli avvisi e, in media, non sono in grado di gestire il 67% degli alert ricevuti ogni giorno. Vectra AI parla nel report di una spiral of more, una “spirale dei più”: più attacchi, più alert, più lavoro. Un circolo vizioso che aumenta lo stress degli analisti di sicurezza e spesso impedisce loro di riconoscere le vere minacce e di agire tempestivamente.

“Con il passaggio delle aziende ad ambienti ibridi e multi-cloud, i team di sicurezza si trovano continuamente a dover affrontare di più: più superficie di attacco, più metodi di attacco che eludono le difese, più rumore di fondo degli alert, più complessità e più attacchi ibridi”, ha detto Kevin Kennedy, senior vice president of Products di Vectra AI. “L’approccio attuale al rilevamento delle minacce non è più valido e i risultati del nostro report dimostrano che l’eccesso di strumenti disparati e isolati ha creato troppo rumore di fondo nel rilevamento perché gli analisti Soc possano gestirlo con successo, finendo invece con il favorire un ambiente ideale per l’ingresso degli attaccanti”.





(Immagine di Freepik)



Il 41% degli intervistati ritiene che il sovraccarico di alert sia diventato la norma, perché i vendor eccedono in prudenza, preferendo segnalare sempre gli eventi nel caso si rivelino, poi, importanti. Il 38% pensa che gli strumenti di sicurezza vengono adottati dalle aziende per soddisfare i requisiti di compliance e il 47% vorrebbe essere interpellato dai membri del team IT prima dell’acquisto di nuovi prodotti.

Lo stress e la ripetitività delle operazioni stanno allontanando parte degli analisti dei Soc da questa professione. Tra gli intervistati, due su tre hanno detto di voler lasciare o almeno valutare di lasciare l’attuale posto di lavoro. Il 55% ha detto di avere la sensazione di svolgere il lavoro di più persone e il 52% ritiene che lavorare nel settore della sicurezza non sia un’opzione di carriera praticabile nel lungo termine.