Generalizzazione e trasferibilità di un SOC basato su Machine Learning

Negli ultimi anni, la crescente digitalizzazione ha portato a un'espansione significativa e a una maggiore complessità delle infrastrutture software, rendendole più vulnerabili agli attacchi informatici. La protezione di tali sistemi richiede un monitoraggio costante e una risposta tempestiva, attività gestite dai Security Operations Center (SOC), che affrontano l'enorme e disomogeneo volume di allarmi generati dai diversi clienti. Il lavoro degli analisti di sicurezza, in particolare di quelli di primo livello, è spesso gravato da un'elevata "alert fatigue", che ne compromette l'efficienza e l'affidabilità. Questo studio propone l'utilizzo di modelli di Machine Learning per automatizzare l'analisi degli allarmi e aiutare gli analisti, e si concentra sulla scarsa trasferibilità dei modelli predittivi tra diversi clienti a causa delle eterogeneità intrinseche dei loro dati. Per affrontare questo problema, abbiamo sviluppato e implementato un metodo di generalizzazione basato sull'espansione del dataset di allenamento per un ensemble di modelli. L'approccio combina più modelli, ciascuno addestrato su un singolo cliente, per creare un sistema robusto e in grado di adattarsi a nuovi contesti. I risultati dimostrano che questo approccio ensemble di modelli client-specifici supera significativamente le prestazioni di un singolo modello generico addestrato su tutti i dati disponibili. Questo studio, basato su dati provenienti da un SOC reale, fornisce una prova di fattibilità che un approccio di generalizzazione basato su ensemble è una soluzione efficace per migliorare la resilienza e l'efficacia dei sistemi di sicurezza predittiva in un contesto multi-cliente.