Passa al contenuto principale
Settori industriali

Il tempo medio di rilevamento è un problema di accesso ai dati

Risultati di settore: gli analisti in SOC ben finanziati trascorrono spesso più tempo a interrogare i dati che ad analizzarli. Il collo di bottiglia dell'indagine non è l'esperienza, ma il tempo necessario per assemblare i dati di cui l'esperienza ha...

di Taylor Kain

  • Gli analisti di sicurezza dedicano una quantità sproporzionata di tempo all'assemblaggio di dati attraverso sistemi frammentati, limitando la velocità e l'efficacia delle indagini.
  • Gli strumenti SIEM e SOAR esistenti migliorano i flussi di lavoro ma non riescono a eliminare il problema principale dell'integrazione dei dati tra sistemi.
  • Databricks Genie, all'interno di Lakewatch, consente indagini guidate da agenti in linguaggio naturale, accelerando il rilevamento e la risposta a velocità macchina.

CASO D'USO
Efficienza SOC & Intelligenza per le Indagini sugli Incidenti

Le operazioni di sicurezza sono diventate più sofisticate nell'ultimo decennio. MTTD, MTTR, tassi di falsi positivi, utilizzo degli analisti: le prestazioni operative dei centri operativi di sicurezza sono ora misurate con il rigore di qualsiasi altra funzione aziendale. E quando tali metriche vengono analizzate, emerge un modello coerente: una quantità sproporzionata di tempo dell'analista viene dedicata all'assemblaggio dei dati piuttosto che all'analisi.

Un analista che indaga su un avviso sospetto deve estrarre dati di log da più origini, incrociare i record di identità degli utenti, controllare le informazioni sugli asset per i sistemi coinvolti, rivedere gli avvisi precedenti sulle entità correlate e correlare i dati della sequenza temporale tra le origini. Ciascuna di queste estrazioni di dati richiede una query diversa, un sistema diverso e una sintassi diversa.

Perché il Tempo Medio di Rilevamento si Blocca nella Maggior Parte dei SOC

I leader delle operazioni di sicurezza hanno investito in piattaforme SIEM, automazione SOAR e integrazione di threat intelligence per affrontare questo problema. Tali investimenti hanno apportato miglioramenti reali. Ciò che non hanno risolto è il problema fondamentale della frammentazione dei dati: quando la versione autorevole di una domanda pertinente all'indagine richiede l'unione di dati tra sistemi che non sono stati progettati per comunicare tra loro, l'analista diventa il livello di integrazione.

Un analista di Livello 2 in grado di porre qualsiasi domanda su un incidente e ottenere la risposta in pochi secondi sta eseguendo cinque volte l'analisi di un analista che deve interrogare tre sistemi per ottenere ogni pezzo del quadro.

Genie e Lakewatch per le Indagini SOC

Genie funge da interfaccia agentiva all'interno di Lakewatch, sfruttando il ragionamento avanzato dei modelli Anthropic Claude per fornire operazioni di sicurezza agentive. Integrando le capacità di ragionamento di Claude, Lakewatch può correlare segnali complessi tra dati di sicurezza, IT e aziendali in pochi secondi. Ciò consente agli analisti di distribuire agenti di sicurezza difensivi che non si limitano a cercare dati, ma comprendono il contesto dell'indagine per far emergere minacce ad alta fedeltà più velocemente dei flussi di lavoro manuali.

Genie funge da interfaccia agentiva all'interno di Lakewatch, consentendo agli analisti di passare da un approccio "human-in-the-loop" a "human-at-the-helm". Invece di scrivere complessi SQL o imparare linguaggi di ricerca proprietari, gli analisti utilizzano Genie per orchestrare agenti autonomi in grado di cercare, riassumere e incrociare petabyte di dati in pochi secondi.

Genie consente ai team di operazioni di sicurezza di porre domande di indagine in linguaggio naturale attraverso il loro intero ambiente di dati di sicurezza. Un analista può chiedere: "Mostrami tutti gli eventi di autenticazione per l'utente X negli ultimi 7 giorni, i sistemi a cui ha avuto accesso, eventuali eventi di accesso ai file associati su archivi di dati sensibili e eventuali avvisi correlati dal nostro EDR." Tale sintesi investigativa emerge in un'unica risposta conversazionale.

La Matematica dell'MTTD: da 200 Giorni a Minuti

Ridurre l'MTTD non è solo un obiettivo; è un requisito di sopravvivenza. Come ha sottolineato Ali Ghodsi, co-fondatore e CEO di Databricks, durante il suo keynote alla RSA, stiamo assistendo a un massiccio cambiamento secolare nel panorama delle minacce. Il Zero Day Clock mostra che nel 2018, il tempo medio dalla CVE all'exploit armato era superiore a due anni. Oggi, quella finestra si è ridotta a soli 1,3 giorni.

Questa finestra di exploit di 1,3 giorni è il "punto morto architetturale" per i SIEM legacy. Sebbene dati recenti suggeriscano che il tempo mediano di rilevamento delle violazioni si sia compresso drasticamente, tale mediana spesso maschera una "coda lunga" di minacce sofisticate che rimangono non rilevate per mesi a causa di lacune di visibilità. Gli esseri umani da soli non possono tenere il passo con questa velocità di weaponizzazione. Stiamo affrontando sciami di agenti AI che attaccano ovunque, mentre i difensori sono ancora vincolati da flussi di lavoro manuali e dalla "tassa sulla sicurezza" che li costringe a scartare fino al 75% dei loro dati.

Metrica

Nome Completo

Definizione

Significato Aziendale

MTTD

Tempo Medio di Rilevamento

Il tempo medio impiegato dai tuoi strumenti o dal tuo team di sicurezza per identificare un potenziale incidente di sicurezza.

Critico: un MTTD elevato indica una "lacuna di visibilità" in cui gli aggressori possono operare liberamente (il problema della "coda lunga").

MTTR

Tempo Medio di Risposta

Il tempo medio trascorso da quando viene attivato un avviso fino all'inizio della risposta o mitigazione iniziale.

Misura l'agilità del SOC e l'efficacia dei tuoi playbook automatizzati.

MTTC

Tempo Medio di Contenimento

Il tempo medio necessario per isolare una minaccia e impedirne un'ulteriore diffusione nella rete.

La metrica principale per limitare il "raggio d'azione" e la potenziale esfiltrazione di dati.

MTTI

Tempo Medio di Indagine

Il tempo medio impiegato da un analista per verificare un avviso e determinarne la causa principale e l'ambito.

Evidenzia il "collo di bottiglia dell'analista" causato dall'unione manuale dei dati tra sistemi frammentati.

Per combattere uno sciame, serve uno sciame. Lakewatch e Genie rappresentano un cambiamento fondamentale. Lakewatch distribuisce sciami di agenti difensivi che automatizzano il rilevamento, il triage e le indagini in modo nativo dove risiedono i tuoi dati. Stiamo passando dal triage a passo umano alla difesa a velocità macchina, posizionando il difensore al timone per orchestrare la difesa autonoma in tutta l'azienda.

DATABRICKS GENIE · DIFFERENZIATORI CHIAVE
Costruito per i tuoi dati, governato dalle tue regole, responsabile nei confronti di qualsiasi leader aziendale.

  • Data lake di sicurezza unificato: tutta la telemetria di sicurezza in un unico posto — dati SIEM, EDR, NDR, IAM, CSPM in un unico ambiente di query.
  • Ricostruzione della sequenza temporale: Genie può assemblare sequenze temporali di eventi cronologici tra diverse origini dati, riducendo il lavoro manuale di ricostruzione degli incidenti.
  • Contesto delle entità: il contesto di utenti, dispositivi e applicazioni è sempre disponibile insieme ai dati degli eventi — le indagini ottengono automaticamente un contesto arricchito.
  • Controlli di accesso a livello di analista: analisti junior e senior accedono ai dati appropriati al loro ruolo — la capacità di indagine scala con la governance appropriata.

Scopri Cosa Può Fare Genie per il Tuo Team

Databricks Genie è disponibile da oggi. Scopri come i tuoi colleghi del settore lo stanno utilizzando per reinventare il modo in cui accedono ai dati e agiscono su di essi.

(Questo post sul blog è stato tradotto utilizzando strumenti basati sull'intelligenza artificiale) Post originale

Ricevi gli ultimi articoli nella tua casella di posta

Iscriviti al nostro blog e ricevi gli ultimi articoli direttamente nella tua casella di posta.

Visualizza tutti i blog