La tua MTTD è Ottima. Il Tuo Gap Post-Alert Non Lo è

Recentemente, l’AI ha dimostrato la sua potenza nel mondo della cybersicurezza, mettendo in luce un aspetto critico: la rapidità degli attacchi sta superando la capacità di risposta delle difese umane. In un contesto dove le vulnerabilità zero-day possono essere scoperte e sfruttate in pochi minuti, è fondamentale comprendere dove si trovano effettivamente i tempi morti nella risposta alle minacce.

Il Gap Post-Alert: Un Problema Critico

Negli ultimi anni, i sistemi di rilevamento delle minacce hanno fatto progressi significativi, grazie all’introduzione di strumenti come le piattaforme EDR e SIEM. Tuttavia, ci si deve concentrare non solo sulla velocità di rilevamento, ma anche su ciò che accade dopo che un allerta viene generata. In molte situazioni, l’analista deve affrontare una serie di passaggi complessi: visualizzare l’allerta, raccogliere contesto, investigare e intervenire. Spesso, questo processo può richiedere da 20 a 40 minuti, e questo è dove gli aggressori possono già aver compiuto le loro azioni dannose.

Il tempo che trascorre dall’emissione di un’allerta a quando viene effettivamente investigata è criticamente rilevante. Gli attaccanti hanno la capacità di muoversi rapidamente, e in un ambiente dove la finestra di attacco media è di soli 29 minuti, spesso le indagini non partono nemmeno in tempo.

Come AI Può Fare la Differenza

L’introduzione dell’intelligenza artificiale nei processi di investigazione rappresenta un cambio di paradigma. Con AI in grado di gestire le indagini post-allerta, il tempo di attesa può essere drasticamente ridotto. Mentre la MTTD rimane una metrica di riferimento per la velocità di rilevamento, ciò che l’AI cambia è il tempo necessario per gestire l’allerta stessa.

Con AI, ogni allerta riceve immediatamente attenzione, riducendo il tempo che l’analista impiega per dare una risposta. Le indagini, che prima potevano richiedere ore, possono essere completate in pochi minuti, aumentando notevolmente l’efficacia delle difese. Questo non solo riduce il gap post-alert, ma rende il team decisamente più reattivo.

Le Metriche Che Contano Oggi

Una volta che il gap post-alert è stato ridotto, la gestione delle prestazioni delle operazioni di sicurezza deve evolversi. Non si tratta più solo di quanto velocemente si risponde a un’allerta, ma di quanto migliorano realmente le difese nel tempo. Ecco alcune metriche fondamentali:

  1. Tasso di Copertura delle Indagini: Qual è la percentuale di allerta che riceve un’indagine completa? Negli ambienti tradizionali, questo tasso è spesso del 5-15%. In un SOC alimentato da AI, dovrebbe essere del 100%.

  2. Copertura delle Tecniche di Rilevamento: Mappare le tecniche MITRE ATT&CK contro la tua libreria di rilevamento permette di identificare le lacune e migliorare la sicurezza complessiva.

  3. Velocità di Feedback sui Falsi Positivi: Quanto velocemente i risultati delle indagini influenzano l’ottimizzazione dei rilevamenti? Nella migliore delle situazioni, questo dovrebbe essere un processo continuo, invece che un ciclo trimestrale.

  4. Tasso di Creazione di Rilevamenti Sponsorizzati dalla Ricerca: Misura quanti rilevamenti permanenti emergono da attività di ricerca proactive rispetto a quelle di risposta a incidenti.

Invitando le aziende italiane, e non solo, a adottare queste metriche, è possibile sviluppare una visione più chiara della propria postura di rischio.

Conclusione Pratica

Con l’evoluzione delle tecnologie e l’emergere delle minacce, le aziende devono adattarsi. Investire in strumenti basati su AI può ridurre il gap post-alert e migliorare la capacità di risposta alle minacce. Non è più sufficiente concentrarsi solo sulla velocità di segnalazione; è essenziale misurare l’efficacia delle indagini e monitorare i progressi nel rafforzamento delle difese. In un panorama di cybersicurezza in continua evoluzione, questa chiarezza potrebbe fare la differenza tra la sicurezza e un attacco riuscito.