SOC: HPE analizza l’efficacia dei Security Operation Centers aziendali

Secondo un nuovo rapporto di HPE l’82% dei SOC è al di sotto del livello di maturità ottimale, nonostante il costante miglioramento anno su anno.

Hewlett Packard Enterprise (HPE) ha pubblicato nei giorni scorsi la quarta edizione dello State of Security Operations Report 2017, che offre un’analisi approfondita sull’efficacia dei SOC (Security Operation Centers) delle organizzazioni, oltre a illustrare le best practice per mitigare i rischi.

Grazie a una sempre maggiore propensione verso un rapido rinnovamento e allineamento delle iniziative di security agli obiettivi di business, il SOC offre alle organizzazioni le basi per proteggere i propri asset più sensibili, identificando al contempo la risposta alle minacce.

Il report di quest’anno, che ha analizzato circa 140 SOC in oltre 180 assessment nel mondo, mostra inoltre come la maggior parte dei SOC sia al di sotto dei target maturity level, rendendo le organizzazioni vulnerabili in caso di attacco. Ciascun SOC è misurato sul modello HPE Security Operations Maturity Model (SOMM), che valuta individui, processi, tecnologia e funzionalità, inclusi i security operation center.

Un SOC ben strutturato consente alle organizzazioni moderne di monitorare in modo efficace le minacce attuali e future, anche se l’82% dei SOC fatica ad allinearsi a tali criteri ed è al di sotto del livello di maturità ottimale. Nonostante la capacità di rispondere a questi requisiti registri un miglioramento del 3% su base annua, la maggior parte delle organizzazioni deve far fronte alla mancanza di risorse qualificate e implementare processi il più efficaci possibili.

“I SOC efficaci sono quelli che riescono a mantenere un approccio bilanciato verso la cybersecurity includendo il giusto mix di persone, processi e tecnologie e sfruttando correttamente automazione, analytics, monitoraggio in tempo reale e modelli di hybrid staffing per sviluppare programmi di cyberdifesa maturi e replicabili” ha dichiarato Matthew Shriner, Vice President, Security Professional Services di Hewlett Packard Enterprise.

Dal report sono emerse quattro considerazioni principali.

  1. La maturità dei SOC si riduce se si adottano solamente programmi di ricerca delle minacce. L’implementazione di team incaricati di andare alla ricerca di minacce sconosciute è diventata una tendenza assai diffusa nel settore della sicurezza. Se è vero però che le aziende che hanno integrato le proprie capacità di monitoraggio in tempo reale con team di questo tipo sono riuscite a incrementare i propri maturity level, è altrettanto vero che contare solo su questo genere di programmi non si rivela efficace.
  2. La carenza di personale specializzato rimane la preoccupazione principale nell’ambito della sicurezza, rendendo l’automazione un elemento essenziale per un SOC di successo. Tuttavia le minacce avanzate richiedono sempre capacità investigative umane, così come la valutazione dei rischi richiede un ragionamento umano. Ciò rende imperativo il raggiungimento di un equilibrio tra automazione e disponibilità di personale. 

    soc

  3. Non vi è un collegamento tra le dimensioni di un’azienda e la maturità e l’efficacia del suo centro di cyberdifesa. SOC maturi emergono invece con maggior probabilità da aziende che sfruttano la sicurezza come fattore di differenziazione competitiva, per la leadership di mercato o per allinearsi con il proprio settore.
  4. Le organizzazioni che mantengono la gestione del rischio internamente per scalare con risorse esterne, come nel caso del ricorso a MSSP (Managed Security Services Provider) per co-staffing o in-sourcing, possono aumentare la propria maturità e colmare il gap di competenze.

Infine il report fornisce quattro consigli su come le organizzazioni debbano continuare a implementare e perfezionare il deployment di SOC.

  1. Prima di dedicarsi a nuove metodologie come i team incaricati di individuare le minacce sconosciute, bisogna padroneggiare le basi dell’identificazione del rischio, del rilevamento degli incidenti e della relativa risposta, che sono le fondamenta di qualsiasi programma di sicurezza efficace.
  2. Automatizzare le attività laddove possibile per aiutare a mitigare il gap di competenze; inoltre capire quali sono i processi che richiedono interazione umana e dotarsi del personale necessario.
  3. Valutare periodicamente obiettivi di gestione del rischio, sicurezza e conformità di un’organizzazione per aiutare a definire la strategia della sicurezza e l’allocazione delle risorse.
  4. Le aziende che devono potenziare le proprie capacità di sicurezza ma non riescono ad aggiungere il personale necessario dovrebbero pensare a una strategia per una soluzione operativa o di hybrid staffing, che faccia leva sia sulle risorse interne che sull’outsourcing coinvolgendo un MSSP.