Quando si affrontano le minacce più recenti e più gravi, i leader e i team della sicurezza informatica hanno bisogno di tutto l’aiuto possibile. Un’arma da considerare come aggiunta all’arsenale di strumenti è il rilevamento e la risposta gestiti (MDR).
I servizi MDR forniscono alle organizzazioni la funzionalità di un centro operativo di sicurezza gestito (SOC), fornito in remoto. Come notato dalla società di ricerca Gartner, queste funzioni consentono alle organizzazioni di rilevare, analizzare, indagare e rispondere attivamente rapidamente attraverso la mitigazione e il contenimento delle minacce.
I fornitori di servizi MDR offrono un’esperienza chiavi in mano, ha affermato l’azienda, utilizzando tecnologie che coprono aree come endpoint, reti e servizi cloud, per raccogliere registri, dati e informazioni contestuali rilevanti. “Questa telemetria viene analizzata all’interno della piattaforma del provider utilizzando una serie di tecniche”, ha affermato. “Questo processo consente l’indagine da parte di esperti esperti nella caccia alle minacce e nella gestione degli incidenti, che forniscono risultati attuabili”.
MDR è un approccio proattivo alla sicurezza informatica
Uno degli aspetti interessanti dell’MDR è che adotta un approccio proattivo alla sicurezza informatica, qualcosa per cui molte aziende si battono oggi come un modo per fermare gli attacchi. Altrettanto interessante, in particolare per le piccole e medie imprese (PMI) con budget di sicurezza limitati, è che questi servizi offrono funzionalità che le aziende stesse in genere non sono in grado di fornire.
I servizi MDR si stanno evolvendo per includere un insieme più ampio di tecnologie e copertura, oltre il rilevamento e la risposta degli endpoint (EDR), ha affermato Gartner nella sua Market Guide for Managed Detection and Response Services pubblicata nell’ottobre 2021. “Tuttavia, uno stack tecnologico chiavi in mano è ancora un requisito fondamentale per gli acquirenti che si aspettano l’estensione del servizio in aree come la sicurezza del cloud”, ha affermato.
La guida raccomanda ai leader della sicurezza e della gestione dei rischi responsabili delle operazioni di sicurezza di utilizzare i servizi MDR per ottenere funzionalità SOC continue e fornite in remoto quando non sono presenti funzionalità interne esistenti o quando l’organizzazione deve accelerare o aumentare le capacità delle operazioni di sicurezza esistenti.
Dovrebbero valutare in che modo l’approccio di contenimento di un provider MDR può integrarsi con le proprie politiche e procedure e, ove possibile, accettare le azioni di contenimento e interruzione delle minacce del provider MDR per loro conto per consentire risposte rapide alle minacce rilevate.
Gartner ha affermato che le aziende possono ottenere il massimo beneficio dai servizi MDR preparando i processi del flusso di lavoro di risposta e integrando i sistemi di gestione dei ticket esistenti per garantire una risposta incentrata sul business alle minacce. Dovrebbero verificare se la tecnologia del provider MDR o il set di tecnologie supportate si adattano ai controlli di sicurezza e all’ambiente IT esistenti dell’azienda, inclusi on-premise e cloud.
Quali sono le funzionalità di base quando si acquistano servizi MDR?
Ecco alcune delle capacità di base che le aziende dovrebbero cercare quando valutano i servizi MDR, secondo la guida:
- Uno stack tecnologico di proprietà e gestito dal provider che consente specificamente il monitoraggio, il rilevamento, l’indagine e la risposta attiva di mitigazione delle minacce in tempo reale.
- Personale che interagisce quotidianamente con i dati dei clienti e ha le capacità e l’esperienza nel monitoraggio, rilevamento e ricerca delle minacce, intelligence delle minacce e risposta agli incidenti.
- Processi e contenuti di rilevamento predefiniti e preimpostati che includono un playbook standard di flussi di lavoro, procedure e analisi.
- La capacità di offrire attività di mitigazione, indagine e contenimento della risposta remota oltre all’avviso e alla notifica.
Nuovi elementi di MDR stanno emergendo sul mercato, afferma il rapporto, ma non sono ancora all’ordine del giorno. Uno è un’espansione in altre funzioni delle operazioni di sicurezza come la gestione dell’esposizione e l’analisi forense digitale e la risposta agli incidenti (DFIR).
“Un modello tipico osservato tra le organizzazioni meno mature nelle loro operazioni di sicurezza è quello di iniziare con il rilevamento delle minacce e le capacità di risposta e quindi espandere i servizi utilizzati dal provider per migliorare altre aree delle operazioni di sicurezza”, ha affermato l’azienda. “Le funzionalità di gestione dell’esposizione aiutano a prevenire gli attacchi riducendo le esposizioni nell’ambiente dei clienti, negli account utente e nelle applicazioni cloud”.
Altre nuove aree includono la capacità di monitorare l’infrastruttura cloud e i servizi della piattaforma, nonché le popolari applicazioni SaaS (Software as a Service); l’uso di funzionalità di tipo convalida come la simulazione di violazioni e attacchi (BAS) e test di penetrazione come servizio per testare e comprendere scenari di minaccia in un ambiente su base continua; e aggiunte self-service alla piattaforma comune come strumenti di indagine sui dati multi-sorgente che consentono al personale di sicurezza interno di utilizzare i dati raccolti dal provider MDR per funzioni come la caccia alle minacce.
I servizi MDR non sono adatti a tutte le organizzazioni, osserva Gartner. Una varietà di stili di consegna per questi servizi è in linea con diversi tipi di società. Alcuni potrebbero trarre vantaggio da una combinazione di servizi MDR e offerte più complesse o personalizzate.
“È importante avere risultati e obiettivi chiaramente definiti che affrontino casi d’uso definiti e una solida comprensione di come sarà il futuro stato stazionario una volta interagito con un fornitore di MDR”, ha affermato la guida. “Come con qualsiasi iniziativa di outsourcing, se i risultati non sono definiti, indipendentemente dal fornitore di servizi utilizzato, le possibilità di successo saranno ridotte”.
Ma MDR sembra la soluzione ideale per molte PMI. Così come ha senso per le aziende più piccole utilizzare i fornitori di servizi di sicurezza gestiti per affrontare i problemi di sicurezza quando non hanno le competenze interne, ha senso implementare MDR.
Assumere analisti della sicurezza altamente qualificati con esperienza nel monitoraggio della rete può essere difficile quando tali competenze sono molto richieste e scarse, e può essere proibitivo per le aziende con un budget limitato per la sicurezza informatica. Un MDR che fornisce protezione degli endpoint e servizi di risposta con personale completo può fornire la soluzione per queste aziende.
Il futuro dell’MDR nella sicurezza informatica
La domanda di MDR è in aumento. Gartner ha osservato che l’interesse per il mercato continua a crescere e l’azienda ha osservato una crescita del 35% nelle richieste degli utenti finali sull’argomento nell’ultimo anno. Si stima che entro il 2025, il mercato MDR raggiungerà $ 2,15 miliardi di entrate, rispetto a $ 1,03 miliardi nel 2021. Ciò rappresenta un tasso di crescita annuale composto del 20%.
Gartner ha inoltre osservato che, sebbene l’MDR possa essere un’offerta interessante, come tutti i tipi di servizi di sicurezza gestiti non è una soluzione onnicomprensiva.
“Si consiglia ai leader della sicurezza e della gestione del rischio di concentrarsi sui ‘risultati’ dei servizi MDR e di identificare il modo migliore per integrare gli output e la copertura di un fornitore di servizi MDR nei propri processi interni di risposta agli incidenti”, ha affermato l’azienda. “La messa a punto dei processi di sicurezza è fondamentale se si spera di migliorare i risultati complessivi. È anche importante consentire alle risorse interne di lavorare con i tuoi fornitori. Ciò migliorerà i risultati e aiuterà a mantenere buoni rapporti di lavoro con i fornitori”.
Per saperne di più sul servizio MDR di Bitdefender, fai clic qui .
FONTE: https://businessinsights.bitdefender.com/mdr-what-is-it-and-why-should-smbs-care
