Le imprese hanno adottato ampiamente i data lake come metodo per consolidare le informazioni provenienti da più fonti e migliorare i risultati grazie ad analisi e automazione. I responsabili della sicurezza, di conseguenza, stanno lavorando per allineare la loro strategia a questa scelta. Nella costante competizione contro avversari determinati e sofisticati, stanno adottando il modello di sicurezza dei data lake per ottenere visibilità, ridurre gli sforzi e mettere gli stakeholder di tutta l’azienda in condizione di fare la loro parte per evitare la prossima violazione.
La crescita di cloud, dispositivi connessi e lavoro da remoto non ha fatto altro che aumentare il volume, la varietà e la complessità dei dati di sicurezza. Gli strumenti tradizionali operano in gran parte sui propri dati e fanno ricadere l’onere di ogni analisi più approfondita su team di sicurezza già sovraccarichi. Anche le soluzioni progettate per consolidare i registri da più fonti finiscono per creare dei silos quando il costo di acquisizione e conservazione è proibitivo, rendendo difficile ottenere i risultati necessari in termini di prevenzione, rilevamento e risposta.
I progressi delle piattaforme data cloud, tuttavia, hanno reso più semplice ed economico il consolidamento dei dati su scala. I team di sicurezza che ne sono consapevoli hanno trasformato la piattaforma dati centrale della loro azienda nel deposito per security dataset di tutte le dimensioni. Terabyte e petabyte di dati di log provenienti da firewall, endpoint e infrastrutture cloud vengono unificati con questo approccio.
Oltre all’archiviazione, le piattaforme di dati moderne supportano analisi rapide utilizzando linguaggi come SQL e Python per trasformarli in informazioni utili. Di conseguenza, si perde meno tempo con i falsi positivi e le indagini su potenziali violazioni sono più immediate e meno soggette a errori. In ottica di ulteriore miglioramento, i team di sicurezza possono aggiungere facilmente nuovi set di dati provenienti dall’IT e dal resto dell’azienda, assicurando un contesto più ampio e riducendo ulteriormente i falsi positivi e il lavoro di analisi manuale.
I data lake di sicurezza, implementati su una moderna piattaforma cloud, sono ideali per l’apprendimento automatico e altre forme di analisi avanzate. Ospitando i dati nella piattaforma cloud principale di un’organizzazione, i team di sicurezza e analisi possono operare fianco a fianco per risolvere i problemi e trovare soluzioni, applicando le tecniche più recenti per rilevare le anomalie e automatizzare i processi. In questo modo, il CISO si allinea al CIO, lavorando sullo stesso stack di dati avanzati.
I vantaggi non si limitano al rilevamento delle minacce. I rischi e la conformità, l’identità e l’accesso e la gestione delle vulnerabilità sono più utili quando i dati sono consolidati, condivisi e accessibili. Inoltre, l’utilizzo degli strumenti di Business Intelligence esistenti consente di generare report che possono mostrare alla leadership come la postura informatica stia migliorando, o incoraggiare gli stakeholder di altri reparti ad agire.
Consolidare i dati sulla sicurezza e mantenerne massima disponibilità è essenziale per invertire la rotta nella lotta contro i criminali informatici. Come ha dimostrato l’attacco SolarWinds, i soccorritori devono essere attrezzati per indagare anche a distanza di un anno. In risposta a questa e ad altre violazioni, il governo degli Stati Uniti ha dichiarato che richiederà alle agenzie federali di ampliare la conservazione degli eventi e di implementare l’analisi del comportamento per contribuire a mitigare i futuri attacchi informatici. Questo standard dovrebbe essere applicato a tutte le organizzazioni attente alla sicurezza.
Con l’aumento della necessità di gestire i dati di sicurezza, i data lake basati sul cloud sono diventati il modo più efficace ed economico per applicare analisi sofisticate a volumi di dati in continua espansione. Nella battaglia continua per la sicurezza, chi sta dalla parte giusta ha oggi un nuovo strumento per avere la meglio.