Come valutare un fornitore di servizi MDR: risposta, caccia alle minacce e supporto attivo 24/7 sono le principali parole chiave

redazione

Con la crescita delle minacce alla sicurezza informatica, i team di sicurezza di tutto il mondo stanno lottando per cercare di stare al passo. Un centro operativo di sicurezza (SOC) medio gestisce più di 10.000 avvisi al giorno. Questo numero può essere così ingente che molti team SOC riescono a classificare meno della metà degli avvisi che ricevono. Inoltre, la maggior parte dei team SOC non ha il tempo o le competenze per condurre un’analisi completa quando gli avvisi si trasformano in reali incidenti, il che porta a una risposta insufficiente e a una fase di recupero inefficace. A causa di queste sfide, le aziende si rivolgono sempre di più ai servizi di rilevamento e risposta gestiti (MDR) affinché li aiutino a cacciare, mitigare e contenere le minacce informatiche.

L’MDR è ancora un servizio nuovo e in rapida crescita nel settore della cybersecurity. Il mercato dei servizi MDR dovrebbe raggiungere 2,2 miliardi di dollari entro il 2025, per un tasso di crescita annuale composto (CAGR) 
del 16,7%. Secondo Gartner, il 50% delle aziende utilizzerà i servizi MDR entro il 2025[i]. I servizi MDR stanno crescendo così rapidamente perché affrontano la sfida che i team di cybersecurity nelle aziende di tutte le dimensioni e in tutti i settori stanno affrontando: non è una questione di SE si subirà una violazione, ma QUANDO.

I team di sicurezza oggi devono supporre che la rete sia stata compromessa e sviluppare un approccio proattivo per rilevare le minacce che finora hanno eluso soluzioni come l’EDR (Endpoint Detection and Response). Una volta che un team di sicurezza identifica un problema, è fondamentale avere un piano di risposta rapido ed efficace. Gli hacker operano 24 ore su 24 e non c’è modo di prevedere quando avverrà un attacco, quindi le aziende hanno bisogno di un supporto attivo 24/7 dedicato al rilevamento e alla risposta alle minacce. Tuttavia, questo richiede molte risorse e molte aziende semplicemente non dispongono di questa possibilità al loro interno. Ecco perché si rivolgono alle soluzioni MDR.

Che cos’è l’MDR?

Una volta compresa l’importanza dell’MDR, la domanda successiva da porsi è la seguente: quali caratteristiche deve avere un servizio MDR di qualità? Ci sono molte definizioni diverse di MDR nel settore. Secondo la società di analisi Forrester, MDR prevede “l’applicazione di tecniche analitiche avanzate, la caccia proattiva alle minacce e la risposta automatica, basata su flussi di lavoro di escalation predefiniti da un fornitore di servizi di sicurezza gestiti”. Gartner ha una descrizione simile: “I servizi MDR permettono alle aziende di fornire funzionalità dedicate di monitoraggio delle minacce, rilevamento e risposta 24/7 con un approccio chiavi in mano”.

Le modalità in cui i servizi MDR sono forniti variano, anche se il settore sembra essere d’accordo sui tre elementi fondamentali di un servizio MDR: 

1.           Risposta proattiva

2.           Caccia alle minacce informatiche

3.           Supporto attivo 24×7

Eppure, rimane una significativa area grigia. Espressioni di moda e tecnicismi sono sempre stati prevalenti nell’ambito della sicurezza informatica – il settore è dirompente, con nuove tecnologie rilasciate costantemente in risposta a un panorama delle minacce in continua evoluzione. Quindi, in un certo senso, certe espressioni alla moda sono inevitabili. Quelli di noi che lavorano nel settore da molti anni alzeranno gli occhi al cielo di fronte alle onnipresenti affermazioni di “intelligenza artificiale” o l’ultimo “condensatore di flusso” che risolve tutte le sfide.

L’MDR può sembrare solo l’ultimo esempio. Eppure, la mancanza di standardizzazione su termini, processi e tecnologie rende estremamente difficile per un’azienda valutare adeguatamente e selezionare tra i servizi, gli strumenti o le tecnologie di diversi fornitori. Inoltre, questi servizi spesso si trasformano in un incubo per i team di sicurezza che vengono inondati di avvisi che forniscono poco valore. I CISO sono così insoddisfatti dei loro investimenti e l’azienda non dispone di protezione aggiuntiva.

Quando si parla di servizi MDR, è arrivato il momento di concordare degli standard a livello industriale per le attività di caccia e neutralizzazione delle minacce, le metriche che dovrebbero essere riportate ai clienti e altre misure chiave.

Cosa cercare in un servizio MDR

Quando si prendono in esame potenziali fornitori di MDR è importante valutare i servizi offerti in tre aree chiave: risposta, caccia alle minacce e supporto attivo 24/7:

Risposta

I servizi MDR sono spesso posizionati come un team di analisti esperti di sicurezza che monitora le aziende 24 ore su 24, 7 giorni su 7 con l’obiettivo di aiutare a proteggere i dati con azioni complete in grado di rilevare e rispondere agli attacchi – anche quelli che eludono i controlli già implementati. È importante però capire cosa si intende veramente per “risposta”. Sfortunatamente, molti fornitori si limitano a notificare al cliente un incidente, lasciando all’azienda il compito arduo di gestire l’attacco. Le domande importanti da porre ai fornitori di MDR sono le seguenti: 

1.           Quale è la capacità di risposta proattiva?

2.           In che misura queste azioni di risposta sono automatizzate?

3.           Qual è il ruolo del cliente nelle azioni di risposta?

4.           Qual è il processo di approvazione delle azioni di risposta?

Caccia alle minacce

La caccia alle minacce informatiche è una componente critica di un servizio MDR. Se eseguita correttamente, richiede alti livelli di competenza e informazioni rilevanti e contestualizzate sulle minacce. La caccia alle minacce dovrebbe incorporare una visione contestualizzata dei probabili hacker e delle loro tattiche, tecniche e procedure (TTP) associate, così come una chiara comprensione dell’ambiente IT in cui opera l’azienda. Quando si è nella fase di valutazione dei fornitori di MDR, occorre chiedere specificamente qual è la loro definizione di “caccia alle minacce”. Come viene valutata? Quali indicatori di performance possono fornire? Di seguito altre domande da porre: 

1.           In che misura la caccia alle minacce è automatizzata?

2.           Come vengono incorporate le informazioni sulle minacce nel programma di ricerca alle minacce?

3.           Quali sono gli obiettivi e i risultati del programma di caccia alle minacce?

4.           Quali sono gli elementi che attivano la ricerca alle minacce?

Supporto attivo 24×7

Mentre a prima vista può sembrare facile valutare se un servizio MDR fornisca o meno un supporto attivo 24×7, anche questo standard può variare notevolmente. Ponendo le domande giuste, un’azienda può ottenere una comprensione approfondita del modello operativo utilizzato, i livelli del personale impiegato e la posizione geografica degli analisti incaricati di proteggere i dati dell’azienda. È importante chiedere a un fornitore di MDR:


1.           Processo di chiamata fuori orario

2.           Livelli minimi di personale disponibile per chiamate fuori orario

3.           Supporto “follow the sun”

4.           Disponibilità di un SOC remoto, in co-sourcing o indipendente dall’area geografica. Ciò significa valutare se dispongono un team di analisti che lavora in remoto ma serve una singola base di clienti, o più SOC in regioni internazionali che servono clienti della stessa regione.

I servizi di rilevamento e risposta gestiti forniscono una funzionalità critica alle aziende che non hanno l’esperienza o le risorse per creare da sole un supporto consolidato attivo 24×7, o quelle che vogliono semplicemente concentrare i loro sforzi in altre aree. I servizi MDR non servono solo come rete di sicurezza quando altri controlli di sicurezza falliscono, ma forniscono anche una visione continua di ciò che sta accadendo nell’ambiente di un’azienda e del suo panorama di minacce specifico nonché della loro evoluzione in qualsiasi momento.

La natura critica dei risultati del servizio rende il processo di selezione ancora più importante. Ma, in assenza di standard di settore concordati, spetta alle aziende porre le domande giuste quando si valutano i potenziali partner. I componenti critici del servizio come la risposta, la caccia alle minacce informatiche e il supporto attivo 24×7 non possono semplicemente ridursi a un elenco di attività da spuntare se si vuole prendere una decisione informata in merito al partner con cui collaborare. Occorre porre domande, sondare il terreno e quindi prendere la decisione giusta.