Il fatto che non esiste un proiettile d’argento per la sicurezza informatica, ma invece ogni organizzazione ha bisogno di lavorare con una varietà di fornitori, ha plasmato le pratiche comuni di come acquistiamo soluzioni di sicurezza. In molti casi, c’è un elenco di controllo: abbiamo bisogno di un firewall, una soluzione di protezione degli endpoint, un SIEM, un servizio di penetrazione, una soluzione di sicurezza cloud e molti altri tipi di soluzioni per coprire tutte le nostre basi. Esaminiamo le alternative sul mercato, confrontiamo la loro offerta e il loro costo, allochiamo il budget disponibile di conseguenza e stabiliamo le priorità. Una volta che un elemento sulla lista di controllo è stato controllato, passiamo agli altri elementi. Dopo tutto, non abbiamo bisogno di due firewall o due soluzioni SIEM. Tuttavia, nell’intelligence sulle minacce, un elemento che appare nelle liste di controllo di molte organizzazioni, può essere molto vantaggioso avere più fornitori. Ecco perché.
Lo scopo dell’intelligence sulle minacce è raccogliere dati da una varietà di fonti esterne ai perimetri dell’organizzazione e generare intelligence su ciò che sta accadendo “là fuori”, arricchendo le operazioni di sicurezza dell’organizzazione. Proprio come un militare troverebbe difficile combattere senza alcuna conoscenza della posizione o del movimento dell’avversario, così il team di sicurezza è in grave svantaggio senza tali informazioni. L’intelligence sulle minacce fornisce una visibilità che si estende oltre i perimetri dell’organizzazione e questa visibilità si basa sulla copertura del fornitore sulle fonti di intelligence.
Il fatto è che nessun fornitore di servizi di intelligence ha una visibilità del 100% su ciò che sta accadendo sul web. Poiché la visibilità delle organizzazioni è limitata a ciò che coprono i loro fornitori di informazioni sulle minacce, per definizione non avranno mai una visibilità completa. Nella sicurezza informatica, dove un singolo incidente può essere devastante per un’organizzazione, maggiore è la visibilità, meglio è. Una maggiore visibilità significa maggiori possibilità di rilevare un potenziale incidente e mitigarne la minaccia. Considerando che non esistono due fornitori di informazioni sulle minacce che hanno la stessa identica copertura, è qui che entra in gioco una strategia per più fornitori.
Il modo più efficiente per implementare una tale strategia non sono solo i numeri. Non si tratta solo di ottenere il maggior numero possibile di fornitori nel budget disponibile, ma di scegliere fornitori che si completino a vicenda. Threat intelligence è un termine piuttosto ampio, utilizzato per descrivere molti tipi di offerte. Inoltre, molti fornitori di informazioni sulle minacce che offrono offerte simili possono avere una copertura piuttosto diversa, ognuno con competenze e obiettivi diversi. Alcuni fornitori potrebbero cercare di essere uno sportello unico, coprendo il più possibile (ma ancora una volta, la visibilità al 100% è impossibile), mentre altri potrebbero essere più di nicchia e fornire servizi gratuiti.
Quando si esamina un fornitore di informazioni sulle minacce come parte di una strategia multi-vendor, è meglio rivedere la sua proposta di valore unica, non tanto nelle funzionalità, ma in termini di intelligence. Forniscono intelligenza che altri fornitori non forniscono? Quanti deliverable forniscono di un certo tipo che altri coprono, rispetto a questi altri fornitori? Potresti scoprire che il prezzo del servizio di intelligence vale i risultati unici del fornitore (ovvero gli avvisi di intelligence non forniti dagli altri fornitori).
Il fatto che esista qualche sovrapposizione, come di solito accade, non è una cosa negativa. Poiché l’organizzazione si basa sui dati provenienti dall’intelligence sulle minacce, senza confronto è quasi impossibile valutare un singolo fornitore. Avere più fornitori aiuta a identificare i punti di forza e di debolezza di ogni servizio, il che può essere molto utile sia su base continuativa, ma anche quando arriva il momento di valutare le soluzioni attualmente utilizzate e costruire un nuovo stack di fornitori di informazioni sulle minacce che si completano a vicenda.
La necessità di più fornitori di intelligence non è un concetto nuovo nel settore, principalmente nelle grandi imprese. A testimonianza di ciò, vediamo la popolarità di soluzioni progettate per raccogliere ed elaborare dati di intelligence sulle minacce da una varietà di fonti, inclusi più fornitori. Tuttavia, ci sono ancora molte organizzazioni che utilizzano l’intelligence sulle minacce ma continuano a vederlo come un altro elemento da cancellare dall’elenco.