Operazioni di sicurezza (SecOps)

 

Definizione di SecOps

Operazioni di sicurezza (SecOps) è un termine utilizzato per descrivere la collaborazione tra i team addetti alla sicurezza e alle operazioni all'interno di un'organizzazione. Le operazioni IT hanno continuato ad espandersi nel corso degli anni, ramificandosi in singole specialità che tendono a creare attività isolate. SecOps cerca di promuovere una maggiore collaborazione tra la sicurezza informatica e le operazioni IT, per aiutare a dare priorità alla sicurezza di rete e dei dati e a mitigare i rischi senza sacrificare le prestazioni IT. Inoltre, offre un focus più ristretto rispetto al concetto simile di DevSecOps, in quanto i team DevOps non sono un requisito per creare e implementare le misure di sicurezza di un'organizzazione. Un principio chiave di SecOps, tuttavia, è quello di garantire che la sicurezza sia una parte fondamentale di ogni progetto e sia inclusa anche nelle prime fasi dello sviluppo del progetto.

 

SecOps vs SOC

Il team SecOps è un gruppo di professionisti dell'IT e della sicurezza altamente qualificati che monitorano le minacce e valutano il rischio in un'organizzazione. Il team SecOps è la linfa vitale di un centro operativo di sicurezza (SOC). Un SOC è un hub centralizzato (fisico, virtuale o entrambi) da cui opera il team addetto alla sicurezza. Il SOC facilita la collaborazione tra il personale di sicurezza e aiuta a semplificare le operazioni di sicurezza.

Il numero di ruoli e le dimensioni del team SOC possono variare a seconda delle dimensioni e delle esigenze di un'organizzazione, ma possono variare da 5 a 14 membri. I ruoli comprendono analisti SOC, ingegneri della sicurezza, un responsabile della sicurezza, un responsabile delle operazioni IT e amministratori di sistema, che riportano tutti al Chief Information Security Officer (CISO).

Modernizzare il suo playbook SOC

 

Strumenti SecOps

Esistono numerosi strumenti SecOps creati per aiutare i team addetti alla sicurezza a gestire con successo il SOC. Questi strumenti sono cresciuti di numero con l'evolversi della tecnologia e possono presentare un complesso mix di strumenti siloed da gestire. Fortunatamente, il consolidamento delle capacità è iniziato in tutto il settore per fornire meno strumenti con più funzionalità.

Gli strumenti che aiutano i team SecOps a costruire una difesa proattiva includono:

 

Sfide di SecOps

Le costanti innovazioni tecnologiche continuano a far progredire le operazioni commerciali e lo sviluppo, spesso a scapito di un'adeguata sicurezza. Anche la sicurezza ha continuato a progredire, ma le aziende sono state più lente nell'affrontare la necessità in modo proattivo e più reattive quando vengono identificate nuove vulnerabilità di sicurezza ed emergono nuove minacce. Mentre gli avversari continuano a investire in nuovi strumenti come l'apprendimento automatico, l'automazione e l'AI, i SOC tradizionali basati sulla gestione delle informazioni e degli eventi di sicurezza (SIEM) non riescono a tenere il passo con la trasformazione digitale e le tecniche avanzate degli aggressori. Inoltre, la carenza di professionisti della sicurezza e la lenta implementazione di strumenti SecOps per automatizzare i processi (ed evitare il burnout degli analisti) continuano a rappresentare una grande sfida.

Le sfide SecOps che derivano dagli ambienti SOC tradizionali includono:

  • Mancanza di visibilità e di contesto
  • Aumento della complessità delle indagini
  • Affaticamento e "rumore" da un alto volume di avvisi a bassa fedeltà generati dai controlli di sicurezza.
  • Mancanza di interoperabilità dei sistemi
  • Mancanza di automazione e orchestrazione
  • Incapacità di raccogliere, elaborare e contestualizzare i dati di intelligence sulle minacce.

 

I benefici di SecOps

L'obiettivo di SecOps è migliorare la postura di sicurezza di un'organizzazione, identificare i problemi di sicurezza e rilevare le vulnerabilità, e facilitare un approccio unificato alla sicurezza tra i singoli dipartimenti. Questo approccio aiuta la collaborazione tra team per completare i compiti in modo più efficiente ed eliminare la duplicazione degli sforzi. L'implementazione di un modello SecOps può aiutare a identificare le minacce prima, a ridurre il rischio di violazioni, ad aumentare i tempi di risposta agli incidenti e, di conseguenza, a mantenere la continuità aziendale e la reputazione.

Dia un'occhiata a come il team Security Operations di Palo Alto Networks lavora per automatizzare il proprio SOC.

 

Utilizzo dell'automazione e dell'IA nel SOC

I team SecOps continuano a lottare con i compiti manuali, compreso il numero enorme di avvisi di sicurezza e di indagini sulle minacce che devono condurre quotidianamente. Sfruttando l'automazione e l'analisi, i team SecOps possono identificare, investigare e risolvere meglio le minacce e gli incidenti di sicurezza. Secondo Forrester, la necessità di automatizzare completamente le operazioni SOC è un obiettivo a lungo termine per le organizzazioni, con oltre il 70% che ha già iniziato il proprio percorso di automazione.

Sfruttando l'intelligenza artificiale (AI) e l'apprendimento automatico (ML), gli eventi di sicurezza possono essere identificati rapidamente, senza generare avvisi di basso valore che richiedono tempo, attenzione e correzione manuale da parte degli analisti. L'AI e il ML possono identificare importanti eventi di sicurezza in un'organizzazione,

con alta fedeltà, mettendo insieme i dati provenienti da più fonti e riducendo al contempo il tempo e l'esperienza necessari nel SOC.

 

Le migliori pratiche: Costruire una solida base SOC

È importante che i team SecOps abbiano il sostegno dei dirigenti per sentirsi autorizzati a raggiungere i loro obiettivi. Il CISO in genere colma il divario tra il team SecOps e i team esecutivi per allineare la cybersecurity agli obiettivi aziendali.

I leader della sicurezza possono prendere provvedimenti ora per unificare la sicurezza in tutta l'organizzazione e semplificare le operazioni di sicurezza. Devono farlo:

  1. Ridurre il tempo medio di riparazione (MTTR) automatizzando gli aspetti della risposta agli incidenti: L'automazione delle attività manuali e dispendiose in termini di tempo durante il processo di indagine e risposta eviterà di perdere avvisi e ridurrà i tempi di indagine.
  2. Aumentare l'automazione delle attività manuali e ripetitive: Riducendo la necessità di un lavoro tattico e noioso, gli analisti avranno più tempo per concentrarsi sulle iniziative strategiche.
  3. Integrare gli strumenti di sicurezza: L'integrazione degli strumenti di sicurezza in una piattaforma centralizzata aiuta a unificare la registrazione, la correlazione degli avvisi e la risposta orchestrata.

Semplificare SecOps con Cortex.

Grazie all'integrazione e all'interoperabilità nativa end-to-end, i team SOC possono chiudere il cerchio delle minacce con sinergie continue in tutto l'ecosistema Cortex. La suite di prodotti Cortex lavora di concerto per monitorare il panorama delle minacce e fornire le più solide capacità di rilevamento, risposta e indagine:

  • Cortex XDR e Cortex Xpanse forniscono la massima visibilità e rilevamenti sulla superficie di attacco di Internet, sugli endpoint, sul cloud e sulla rete.
  • Cortex XDR e Cortex Xpanse sfruttano Cortex XSOAR per le capacità di orchestrazione, automazione e risposta complete.
  • Cortex XSOAR sfrutta Cortex XDR e Cortex Xpanse per fornire rilevamenti e avvisi ad alta fedeltà per guidare i flussi di lavoro orchestrati.

Visiti le pagine dei nostri prodotti per maggiori informazioni o scarichi il nostro libro bianco "Redefining SecOps in the Era of AI".

Cortex Xpanse

Cortex XSOAR

Cortex XDR

Cortex XSIAM