Per fronteggiare l’aumento del numero e della natura degli attacchi informatici, in una situazione in cui la diversificazione dell’infrastruttura IT tra on-prem, cloud, mobile e IoT moltiplica la superficie di attacco, le aziende spesso si ritrovano a gestire un numero crescente di fornitori di soluzioni per la cybersecurity. Il risultato, spesso, è che ad aumentare è il numero di allarmi e segnalazioni (fino a decine di migliaia al giorno), senza che a questo corrisponda necessariamente una maggior consapevolezza dell’effettiva situazione della propria rete.

Come i CISO misurano le prestazioni in fatto di security

Proprio la rapidità con cui è possibile prendere consapevolezza di un attacco (il “time to detect”), è tra i Kpi ritenuti più importanti dai CISO che hanno risposto al sondaggio 2020 CISO Benchmark Report indetto da CISCO. Il time to detect è infatti molto spesso il fattore che più influisce sul parametro che importa invece al CdA, cioè il tempo impiegato per risolvere il problema (time to remediate).

Sempre dal CISO Benchmark Report emerge che in media le aziende adottano 20 diverse tecnologie per la sicurezza. Per il 20 percento dei rispondenti, la gestione di più vendor si dimostra molto impegnativo, con il 42 percento degli intervistati che soffre di quella che è stata definita  cybersecurity fatigue”: la rinuncia a stare al passo con le minacce e i criminali informatici.

cisco ciso report

Se guardiamo ai dati italiani, le cose sembrano andare decisamente meglio: solo il 29 percento soffre di cyber fatica, e solo il 10 percento ritiene che gestire un ambiente multi-vendor sia molto impegnativo. Dati così positivi che verrebbe da dubitarne: non è che semplicemente in Italia si usano meno strumenti o manchi la effettiva consapevolezza delle minacce? Secondo Stefano Vaninetti, Responsabile della Divisione Cybersecurity di Cisco, queste ipotesi valgono solo per una parte degli intervistati: “Vediamo più “cattiveria” nelle aziende, che puntano a migliorare le proprie difese anche sul fronte delle minacce di tipo avanzato. Una parte del paese sta effettivamente lavorando bene”.

Cisco SecureX: uno sguardo di insieme sulla cybersecurity

Anche rimanendo all’interno del portfolio di un singolo vendor, si possono trovare decine di soluzioni che si occupano ciascuna di un aspetto specifico. Spesso, come nel caso di Cisco, questa situazione è dovuta ad acquisizioni fatte nel tempo.

cisco-securex

La risposta di Cisco al proliferare delle soluzioni è SecureX: una console in cloud a cui afferiscono tutti i segnali generati dalla rete e da tutti gli strumenti di sicurezza adottati in azienda, siano essi di Cisco o di terze parti, e che vengono combinati con le informazioni di Talos (azienda Cisco dedicata alla threat intelligence) e algoritmi di machine learning che combinano dati interni con quelli provenienti da altre reti monitorate per correlare tra loro gli eventi di security e fornire informazioni sulla serietà e priorità delle segnalazioni.

Alla piattaforma SecureX possono afferire segnali sia da agenti installati su endpoint o altre apparecchiature, siano essi di Cisco o di terze parti, sia dalle rilevazioni fatte sulla rete in modalità agentless, e si possono convogliare anche segnali e log provenienti da una piattaforma Siem (Security Information and Event Management). L’integrazione con strumenti di automazione permette non solo di fornire visibilità, ma anche applicare immediatamente mitigazioni e rimedi alle minacce.

Le funzionalità di SecureX possono essere espanse aggiungendo app da un marketplace che al momento conta un centinaio di soluzioni proprietarie o di partner.