Siamo tutti stanchi di rincorrere alert
Ma oggi ridurre l’entropia è possibile
Ciao, sono Ale.
Prima di partire con la newsletter vera e propria ho un annuncio da fare: giovedì 2 ottobre tornerà una nuova edizione dei Lab di Ipway! Questa volta si tratta dell’Extreme Lab, organizzato in collaborazione con Extreme Networks. Sarà un’occasione per scoprire la piattaforma Extreme Platform One e, come sempre, un incontro all’insegna della pratica. Trovi tutte le info e il link per iscriverti qui: https://eventi.ipwaynetworks.com/extreme-lab
Detto questo, oggi voglio parlare dell’approccio platform based in cybersecurity, ma prima voglio farti una domanda:
Il tuo SOC è ancora un centro di costo che insegue alert?
Se la risposta è sì, forse è ora di cambiare prospettiva.
Il vecchio modello, basato su un SIEM che raccoglie passivamente log in un ambiente eterogeneo e disordinato, è superato.
Così si produce troppo rumore che sovraccarica gli analisti e questo esaspera la già critica carenza di competenze e risorse tecniche.
È ora di smettere di comprare soluzioni puntuali e cercare di renderle omogenee aggiungendo layer tecnologici e intervento umano.
L'evoluzione è la sicurezza by “Platform”
L'approccio moderno non è un colpo di spugna, ma ristabilisce un po’ gli equilibri.
Consolidando su poche piattaforme integrate, si costituisce una base solida per un'architettura interoperabile, in linea con il principio di Cybersecurity Mesh Architecture (CSMA) indicato da Gartner.
Invece di far proliferare soluzioni best of breed scollegate tra loro e lasciare il compito di rendere omogeneo l’ambiente al SIEM, ci si affida a piattaforme che coprono uno scope il più ampio possibile, così da ridurre i prodotti da configurare, orchestrare e in generale gestire.
Le piattaforme offrono diversi livelli di servizio attivabili come features e non come prodotti a sé, e permettono la gestione e la visibilità di ampie porzioni dell’ecosistema di rete e sicurezza da pannelli unificati per dominio.
Un altro beneficio dell’approccio platform based è che possiamo sfruttare al massimo le automazioni e le innovazioni che i vendor stanno rilasciando in particolare per capacità abilitate da ML e AI in termini di correlazione di eventi e di reazione autonoma.
Con poche soluzioni tecnologicamente avanzate possiamo concentrarci nel fine tuning e nell’interoperabilità dei sistemi così il ruolo del system integrator può evolvere da fornitore di forza lavoro a specialista e abilitatore di una catena virtuosa di capacità autonome.
Nel nostro mondo di reti e sicurezza, le piattaforme che possono fare la differenza nel nostro modo di gestire l'architettura sono queste:
SASE/SSE (CATO) Per unificare la connettività globale e la sicurezza del perimetro (FWaaS, ZTNA, SWG, CASB, DLP…).
EDR/XDR + gestione Identità (SentinelOne) Per avere visibilità e potere di risposta totali sull'endpoint, e sulle identità, dove avviene la maggioranza degli attacchi.
UEBA e AI-Driven Detection and Response (Darktrace) Per analizzare i comportamenti sulla rete, nel cloud e sulle email, per gestire anche le anomalie che sfuggono alle firme.
Gestione della rete e NAC: Inventory, performance e garanzia di sicurezza della rete basata sugli accessi, per applicare i principi dello Zero Trust anche alla LAN.
E il SIEM? Non è morto, si è evoluto.
In questo nuovo mondo, il SIEM smette di essere un sistema fragile e “rumoroso” su cui poggia tutta la responsabilità della correlazione di eventi e diventa un Security Data Lake strategico più sbilanciato ad assolvere compiti di retention e compliance.
Il risultato? Un SOC più qualificato, proattivo, con più risorse da dedicare a threat intelligence e strategia e, dettaglio non trascurabile, un’esperienza d’uso per gli utenti interni molto più soddisfacente.
In questo panorama pieno di cambiamenti è importante continuare a chiedersi: l’approccio alla sicurezza che sto adottando è ancora fermo al modello del passato o è già proiettato verso l'ecosistema del futuro?
Come sempre, il mio intento è di creare uno scambio di opinioni, perciò se hai un pensiero da condividere con me non esitare!
Alla prossima,
Ale
P.S. Se non sei ancora iscritto trovi il pulsante per farlo qui sotto.
P.P.S. Mi raccomando, non perderti il LAB. Sarà un’ottima occasione per fare rete e incontrarci di persona!
Alcune cose che, se ti va, possiamo fare insieme:
Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.
Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.