Un ambiente IT complesso e diversificato favorisce l’innovazione e la crescita, ma espande anche la superficie di attacco di un’azienda, attirando i criminali informatici. Più endpoint un’azienda aggiunge alla sua infrastruttura, più risorse ha bisogno per mantenere il suo ambiente sicuro. Ciò significa investire molto in prodotti di sicurezza e, con un po’ di fortuna, trovare esperti per gestire il tutto.
Per le PMI, la creazione di un team di sicurezza interno può essere costosa e richiedere molto tempo, distraendole dal loro core business. I fornitori di servizi di MDR offrono alle PMI attente alla sicurezza e ai costi un servizio di detection and remediation di altissimo livello, quasi impossibile da costruire internamente. Anche gli MSP che vogliono mettere in evidenza la sicurezza nel loro portfolio possono collaborare con un fornitore di servizi MDR.
Con l’aumento della criminalità informatica, un servizio MDR può essere una svolta. Vediamo come funziona e quali sono i suoi vantaggi.
Che cos’è il Managed Detection and Response?
L’MDR è un servizio di cybersecurity ad alta tecnologia che può migliorare di molto la posizione di sicurezza di un’azienda, affrontando le minacce informatiche avanzate ed eliminandole. Si tratta di un servizio in outsourcing, generalmente gestito da un Security Operations Center (SOC), che offre alle PMI la potenza e le risorse di un team di sicurezza interno che solo le grandi aziende possono permettersi.
I fornitori di servizi MDR hanno una conoscenza approfondita degli strumenti e delle tecniche utilizzate dai criminali informatici e del loro modo di operare. Armati di queste informazioni, si dedicano attivamente alla caccia, all’interruzione, al contenimento, all’analisi e alla mitigazione delle minacce in modo sistematico, prima che queste possano prendere piede nell’azienda del cliente. Lo stack di strumenti comprende programmi firewall, antivirus e antimalware, oltre a soluzioni avanzate di rilevamento delle intrusioni, crittografia, autenticazione e autorizzazione.
Oltre a bloccare le minacce avanzate, gli esperti MDR analizzano la causa principale di un’intrusione per evitare che si ripeta. Inoltre, forniscono raccomandazioni attuabili che aiutano i clienti a migliorare la sicurezza dell’azienda e a ottenere un migliore ROI sugli investimenti.
Chi ha bisogno di un MDR?
Molte PMI e molti MSP non possono permettersi i costi della creazione di un team di sicurezza interno, che richiede investimenti iniziali in strumenti specializzati e personale qualificato. Le PMI sono spesso bersaglio di ransomware, phishing, Denial-of-Service (DoS) e altre minacce paralizzanti, poiché le loro impostazioni di sicurezza sono ridotte e facili da violare. Circa il 52% delle PMI ha subito un attacco informatico nell’ultimo anno e il 10% ha subito più di 10 attacchi. La cosa peggiore è che la criminalità informatica costa alle PMI oltre 2,2 milioni di dollari all’anno. Anche gli MSP come te non sono al sicuro. Oltre a essere vulnerabili agli attacchi ransomware, gli MSP possono diventare il centro degli attacchi supply chain. Per questo motivo, le PMI e gli MSP sono sempre più attenti alla sicurezza e cercano fornitori terzi in grado di fornire a loro e ai loro clienti una copertura di sicurezza di alto livello.
L’MDR è una svolta per tutte le aziende che desiderano rafforzare la propria posizione di cybersecurity, ma non hanno le risorse e le competenze necessarie per costituire un team interno. I fornitori di servizi MDR combinano il know-how di esperti specialisti della sicurezza con strumenti all’avanguardia per fornire ai loro clienti una strategia di difesa solida a un prezzo accessibile, come il monitoraggio costante, il rilevamento e la caccia alle minacce, la risposta e la gestione degli incidenti, l’analisi comportamentale e persino la gestione della conformità. Tutto senza che il cliente debba passare ore a preoccuparsene, anzi, ottengono un vantaggio competitivo e possono concentrarsi sulla crescita e sull’espansione della loro attività.
Anche gli MSP hanno molto da guadagnare. Collaborando con un fornitore di servizi MDR, possono evitare di investire in costosi strumenti e di trovare rari esperti di sicurezza. In un momento in cui la sicurezza informatica è la priorità di tutti, avere un servizio avanzato di rilevamento e prevenzione delle minacce nel proprio arsenale non solo si rivelerà redditizio, ma aumenterà il valore del proprio brand.
Qual è il vantaggio dell’MDR?
Le minacce informatiche oggi sono complesse e note per la loro furtività e capacità di penetrare anche le difese più formidabili. Inoltre, gli hacker stanno sfruttando strumenti di intelligenza artificiale come ChatGPT per progettare schemi di social engineering più complessi, come le email di phishing, rendendoli ancora più pericolosi. In un ambiente di questo tipo, affidarsi esclusivamente ai sistemi di sicurezza tradizionali, come firewall e antivirus, non è sufficiente.
I servizi MDR brillano laddove gli strumenti tradizionali falliscono. I fornitori di servizi MDR sfruttano una combinazione di tecnologia, processi e competenze per creare una difesa multilivello difficile da superare anche per l’hacker più esperto. Ampliano l’idea di sicurezza perimetrale per coprire tutti i livelli dell’infrastruttura IT, come la rete, l’host, le applicazioni, i sistemi operativi e il monitoraggio dei dati, in modo che, in caso di violazione, sia possibile contenerla e impedire che si diffonda lateralmente. Questa strategia, denominata difesa in profondità, prevede una difesa a ogni livello dell’infrastruttura che impedisce ai criminali informatici di eseguire i loro piani. L’approccio a più livelli rallenta in modo significativo l’attività degli hacker e consente agli esperti di sicurezza di rispondere e contenere le minacce in tempo reale e in modo più efficace.
I fornitori di servizi MDR lavorano in modo proattivo. Utilizzano strumenti avanzati di threat intelligence e di analisi comportamentale per identificare le minacce che i criminali informatici utilizzeranno per compromettere l’infrastruttura IT di un’azienda. A differenza dei firewall e degli antivirus che utilizzano firme e schemi basati su regole per rilevare le minacce note, gli MDR sono in grado di individuare e correggere le minacce che spesso passano inosservate. Invece di seguire regole e sistemi predefiniti che possono diventare obsoleti, gli specialisti MDR si affidano alla loro capacità di giudizio, alle loro competenze e al loro sofisticato kit di strumenti per sconfiggere i criminali informatici al loro stesso gioco.
Come funziona l’MDR?
La strategia MDR di ogni azienda varia in base all’infrastruttura, al profilo di rischio e alle esigenze aziendali. Sebbene non esista un metodo universale, il processo può essere suddiviso in tre fasi:
1. Detection
Il rilevamento tempestivo di un attacco informatico svolge un ruolo cruciale nel determinare la posizione di sicurezza di un’azienda. Anche se il tempo di permanenza (dwell time), che si riferisce all’intervallo di tempo che intercorre tra l’inizio di una violazione e la sua scoperta, si è ridotto nel corso degli anni da oltre 200 giorni a 21 giorni, la sfida e il rischio che rappresenta rimangono gli stessi. Le aziende spesso perdono tempo prezioso prima di individuare un’intrusione, con gravi conseguenze. Secondo il Cost of Data Breach Report 2022 di IBM, occorrono in media 277 giorni per identificare e contenere una violazione, con un costo di 4,86 milioni di dollari.
I fornitori di servizi MDR, grazie al rilevamento e alla mitigazione delle minacce in tempo reale, riducono di molto la vulnerabilità di un’azienda ad attacchi come il ransomware. Monitorano tutto, dagli endpoint al traffico di rete, dai file di log agli ambienti cloud, alla ricerca di anomalie come la presenza di malware, tentativi di accesso non autorizzati, escalation di privilegi sospetti ed esfiltrazione di dati, per rilevare un’intrusione non appena si verifica. Utilizzando strumenti di endpoint detection and response, di rilevamento delle minacce, di analisi comportamentale, di apprendimento automatico e di intelligenza artificiale, abbinati a funzionalità di automazione, riescono a individuare ed eliminare gli intrusi non appena superano una linea perimetrale.
2. Response
Una volta rilevata una minaccia, gli esperti MDR utilizzano una combinazione di regole automatiche e manuali per determinare la portata e la gravità della minaccia e se si tratta di un falso positivo o meno. Le aziende ricevono una marea di ticket al giorno e stabilire una priorità in base alla gravità è un compito faticoso. Gli specialisti MDR, invece, sono esperti nel triaging e possono identificare rapidamente i ticket che richiedono un’attenzione immediata. Quindi isolano il dispositivo o la rete infetta dal resto dell’infrastruttura per limitare la diffusione del codice maligno e raccolgono ulteriori informazioni sulla minaccia per determinare la migliore linea d’azione.
3. Remediation
Una volta raccolte le informazioni, l’MDR intraprende le azioni migliori per rimediare all’incidente, ad esempio bloccando gli indirizzi IP o i domini dannosi, rimuovendo il malware, pulendo il registro di sistema, resettando gli account compromessi o rimuovendo le applicazioni non attendibili. Il processo non finisce qui. È indispensabile ripristinare il dispositivo colpito allo stato precedente all’attacco per recuperare i dati persi e rimettere in funzione l’endpoint o la rete.
Una volta che tutto è in ordine, gli specialisti MDR indagano sull’incidente per comprenderne la causa, il vettore di attacco utilizzato e il motivo per cui l’intrusione ha avuto successo. Quindi impostano nuovi flussi di lavoro per affrontare vulnerabilità simili in futuro. Questo rafforza ulteriormente l’infrastruttura IT e aiuta le aziende a continuare a operare senza problemi.
Qual è la differenza tra MDR e le altre soluzioni di sicurezza degli endpoint?
In questa sezione vedremo come l’MDR si confronta con altri servizi di sicurezza.
MDR vs. EDR
Sia l’MDR che l’EDR aiutano le aziende a ottenere visibilità sui loro ambienti e a prevenire le minacce. Mentre l’MDR è un servizio completo di cybersecurity che le aziende esternalizzano a un fornitore di terze parti, l’EDR è uno strumento di sicurezza progettato per proteggere gli endpoint come laptop, server e dispositivi mobili dagli attacchi informatici. Le aziende possono distribuire agenti EDR sui loro endpoint per monitorare, raccogliere dati e rilevare attività dannose in modo indipendente. I fornitori di servizi MDR, invece, non si limitano alla protezione degli endpoint. Spesso utilizzano soluzioni EDR insieme a una serie di altri strumenti per rilevare le minacce in tutta l’infrastruttura, compresi endpoint, cloud, dispositivi IoT, reti o server.
MDR vs. XDR
L’Extended Detection and Response (XDR) raccoglie e consolida i dati provenienti da più strumenti di sicurezza utilizzati da un’azienda, come EDR, sicurezza del cloud, sistemi di prevenzione delle intrusioni di rete (IPS), analisi comportamentale degli utenti, firewall di rete e informazioni sulle minacce, per offrire una migliore visibilità e miglioramenti del flusso di lavoro nell’intero stack di sicurezza. Questo aiuta gli esperti a ottenere una visione completa e unificata della posizione di sicurezza dell’azienda e a rilevare le minacce che i singoli prodotti potrebbero ignorare. L’XDR aggiunge un contesto agli avvisi per aiutare i team IT e gli esperti MDR a gestire e rispondere agli incidenti in modo rapido ed efficiente.
MDR vs. MSSP
I fornitori di servizi di sicurezza gestiti (MSSP) sono aziende che forniscono una serie di servizi di cybersecurity ai loro clienti e gli MDR possono essere uno di questi. Le competenze degli MSSP vanno oltre il managed detection and response e comprendono la risposta agli incidenti, la gestione delle identità e degli accessi, la formazione sulla sicurezza, il vulnerability scanning, i penetration testing, gli antivirus e i firewall, la prevenzione della perdita di dati e altro ancora.
MDR vs. SIEM
La gestione degli eventi di sicurezza (SIEM) è una soluzione di sicurezza che raccoglie e aggrega dati da varie fonti, come dispositivi di rete, server e sistemi di sicurezza, e implementa l’analisi dei dati per rilevare e identificare probabili minacce informatiche a un’infrastruttura IT. I fornitori di servizi MDR possono fare del SIEM una parte del loro kit di strumenti per ricevere avvisi su potenziali incidenti informatici e bloccarli sul nascere.
MDR vs. SOC
SOC e MDR sono termini intercambiabili. Un SOC è una struttura centralizzata che ospita un team di sicurezza informatica responsabile del monitoraggio continuo, del rilevamento, dell’analisi e della risposta a qualsiasi incidente di cybersicurezza. Come un fornitore di servizi MDR, gli specialisti SOC utilizzano processi innovativi e soluzioni avanzate per prevenire e risolvere gli incidenti di cybersecurity e rafforzare la posizione di sicurezza di un’azienda. Entrambi aiutano a comprendere meglio il proprio ambiente e a implementare strategie e procedure adeguate per arginare gli attacchi informatici.
Quali sono i vantaggi dell’MDR?
Il punto forte dei servizi MDR è il rilevamento e la risposta alle minacce in tempo reale. Utilizzando strumenti e strategie avanzate, sono in grado di individuare e porre rimedio alle minacce che si annidano anche nelle zone più remote e oscure di un ambiente IT. Alcuni dei vantaggi sono:
- La protezione dalle minacce avanzate
- È pieno di risorse e budget friendly
- Fa risparmiare sui costi
- Rafforza la sicurezza
Per concludere, in principio c’era l’antivirus. I clienti non avevano problemi e gli MSP vivevano tranquilli e spensierati.
Poi arrivò il cybercrime moderno a dimostrare che l’antivirus, da solo, non era più una difesa sufficiente data la capacità degli hacker di mettere in ginocchio aziende di ogni ordine e tipo.
Per contrastare l’escalation di malware e attacchi, i produttori di sicurezza hanno immesso sul mercato tecnologie nuove, come gli EDR, ma si tratta di soluzioni complesse, che richiedono tempo e competenze per essere utilizzati.
Per questo motivo sono nati i servizi MDR che uniscono la potenza di uno strumento EDR con le competenze di personale tecnico che, “dietro le quinte”, è sempre operativo per svolgere il lavoro sporco al posto (e a vantaggio) degli MSP e pronto ad avvisare ogni qualvolta sia necessaria un’azione da intraprendere per bloccare gli attacchi informatici.
I fornitori di servizi IT gestiti, così, hanno l’opportunità di dare in outsourcing un lavoro molto complesso raccogliendone i frutti.
Vuoi saperne di più? Abbiamo preparato un webinar on demand che spiega ogni cosa.
Fonte: blog di Kaseya
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. Stimato da colleghi e clienti per la schiettezza e l’onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.