Threat Intelligence nel SOC: trasformare gli alert in decisioni operative

La Threat Intelligence trasforma il SOC da presidio reattivo a funzione decisionale guidata dal contesto. Dall’arricchimento degli alert alla profilazione degli attori, fino a threat hunting, automazione e risposta agli incidenti, la TI riduce il rumore, migliora le priorità operative e anticipa le minacce

Advanced Threat Protection Solutions Group Manager, Kaspersky

Un’analisi efficace parte dalle domande fondamentali “chi, cosa, quando, dove, perché e come”, che trasformano i dati in informazioni utili. Per molti versi, questi stessi pilastri definiscono la disciplina della Threat Intelligence (TI). Quella che era iniziata come un’attività di nicchia volta alla raccolta di indicatori di compromissione si è evoluta in una disciplina molto più ampia.

A seconda del SOC, il lavoro può spaziare dalla semplice acquisizione e arricchimento dei feed fino a ricerche più approfondite, analisi di malware e persino alla produzione di intelligence originale a livello aziendale, CERT o nazionale.

La TI esprime il massimo del suo valore quando è integrata nelle operazioni di sicurezza. Questa integrazione trasforma il SOC da un’unità di monitoraggio reattiva a una capacità di difesa guidata dall’intelligence. In sostanza, un SOC intelligence-driven utilizza la TI non come un input occasionale, ma come sistema nervoso centrale per tutte le decisioni operative. Ai livelli di maturità più elevati (dal terzo al quinto nella maggior parte dei modelli di competenza SOC), la TI diventa profondamente integrata nei flussi di lavoro quotidiani: influenza la detection engineering, guida la threat hunting e arricchisce la risposta agli incidenti.