Il complesso panorama delle soluzioni di sicurezza rende difficile per le organizzazioni progettare lo stack o i processi di sicurezza giusti e selezionare i fornitori che possono consentire loro di diventare cyber resilienti. Queste complessità sono aggravate quando si tenta di implementare capacità di rilevamento e risposta efficaci che sfruttano elevate efficienze operative e di costo .
Di conseguenza, la quantità di lavoro manuale, personale o spesa per la sicurezza necessaria per ottenere gli stessi risultati varia in modo significativo da un’organizzazione all’altra, con molte aziende che devono affrontare una o più delle seguenti sfide:
- Eccessiva dipendenza dal rilevamento, aumento dei rischi di violazione dei dati e lavoro manuale
- Lacune nella visibilità della sicurezza poiché le soluzioni o le tecnologie non funzionano insieme
- Avvisi di stanchezza a causa della profusione di avvisi che devono essere analizzati
- Rilevamento e risposta inefficaci o tardivi
- Mancanza di specialisti della sicurezza per intraprendere indagini o garantire una risposta 24 ore su 24, 7 giorni su 7
- Costi elevati associati a strumenti di sicurezza o indagine manuale
- Mancanza di personalizzazione e automazione MSP
Progetto per gli MSP sulla resilienza informatica
Questo articolo fornisce un modello di tecnologie, best practice e criteri che i fornitori di servizi gestiti (MSP) dovrebbero prendere in considerazione per forgiare la resilienza informatica e integrare il rilevamento e la risposta in modo efficiente nel loro stack di sicurezza:
1. Inizia dall’attenzione del tuo MSP e dalle esigenze dei clienti quando aggiungi nuovi strumenti e servizi
Esistono diversi modi per integrare strumenti e servizi come Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Security Orchestration, Automation and Response (SOAR), Security Information and Event Management (SIEM) o Rilevamento e risposta gestiti (MDR).
Per ottenere efficienze in termini di costi ed operazioni, è importante iniziare con la strategia dell’organizzazione. Se miri a specializzarti e differenziarti utilizzando la sicurezza, potresti voler investire e sviluppare un Security Operations Center (SOC) interno. Per la maggior parte dei clienti, il rilevamento e la risposta sono diventati essenziali, ma è importante valutare se i tuoi clienti sono altamente sensibili alle violazioni dei dati: in tal caso, saranno probabilmente necessari caccia alle minacce e competenze di sicurezza più avanzate.
Se la sicurezza non è strategica per te, i servizi MDR sono un modo rapido per aggiungere funzionalità avanzate alla tua offerta senza investire nel tuo SOC e senza perdere la concentrazione. Tuttavia, i servizi di rilevamento e risposta gestiti possono essere utilizzati anche per integrare le tue operazioni e ottenere monitoraggio e risposta 24 ore su 24, 7 giorni su 7, per estendere le tue capacità man mano che aumenti o quando è più redditizio utilizzare servizi esterni.
Mentre l’EDR si concentra in genere sul rilevamento di potenziali violazioni sui singoli endpoint, XDR va oltre e correla la telemetria su più endpoint, nonché su rete, cloud o e-mail. Emerso più recentemente, XDR può essere visto come l’evoluzione naturale di EDR, ma le capacità differiscono ancora in modo significativo tra i fornitori. Per una maggiore efficienza, è importante cercare strumenti XDR che unifichino le informazioni tra i sensori in un unico incidente e non si limitino agli incidenti degli endpoint che richiedono query manuali per identificare potenziali collegamenti o impatto su e-mail, cloud o rete.
Con le funzionalità XDR, SOAR o SIEM che si sovrappongono in alcune aree, è meglio iniziare con un progetto dei casi d’uso della sicurezza che si desidera trattare, come apparirà un flusso di lavoro semplificato, quindi selezionare gli strumenti.
2. Costruisci il rilevamento su una solida base di difesa in profondità e una comprovata efficacia
Livelli di protezione e prevenzione insufficienti o inefficaci portano a un’eccessiva dipendenza dal rilevamento. Senza una solida base di difesa in profondità, le organizzazioni che implementano strumenti come EDR potrebbero avere difficoltà a rilevare e rispondere manualmente a incidenti che avrebbero potuto essere fermati in precedenza nella catena di attacco.
Un approccio di difesa in profondità è diventato fondamentale con il nuovo paradigma del lavoro da qualsiasi luogo. Inizia comprendendo i rischi e mitigando adeguatamente le vulnerabilità dell’applicazione o della configurazione e riducendo la superficie di attacco. Questo può essere fatto con livelli tecnologici come la gestione delle patch, la crittografia completa del disco, il controllo dei contenuti e dei dispositivi o il firewall. Aggiungendo un set completo di livelli di prevenzione e rilevamento automatizzati come protezione di e-mail e rete, difesa dagli exploit, apprendimento automatico sintonizzabile o sandboxing nel cloud, la tua organizzazione può ottenere la capacità di fermare anche gli attacchi avanzati prima che gli aggressori ottengano l’accesso alla rete.
Al di là del numero di livelli, l’utilizzo di affidabili benchmark di test indipendenti da parte delle migliori organizzazioni come AV Comparatives e la ricerca di prestazioni coerenti nel tempo sono alcuni dei modi migliori per identificare le soluzioni più efficaci contro le minacce sofisticate.
3. Massimizzare l’automazione tra i livelli e ridurre al minimo la necessità di console aggiuntive
Selezionando prodotti di sicurezza che includono la maggior parte dei livelli menzionati e utilizzano un unico agente, policy e dashboard, è possibile ridurre al minimo il tempo necessario per monitorare e rispondere agli incidenti e persino segnalare la conformità. Un’ampia copertura dei sistemi operativi e delle infrastrutture cloud fisiche, nonché private e pubbliche potrebbe ridurre ulteriormente i costi operativi.
Naturalmente, nessun singolo prodotto può fare tutto, quindi dovrebbe essere considerata anche la facilità di integrazione, ad esempio da uno strumento XDR a un SIEM. Non adottare soluzioni inadeguate solo perché sono disponibili in un unico pacchetto. Oltre al risparmio di tempo operativo derivante dal consolidamento delle informazioni e degli incidenti in un’unica piattaforma, ci sono anche vantaggi significativi nell’avere tecnologie che comunicano in modo nativo tra loro. Questa funzione può prevenire lacune di visibilità e ridurre il lavoro manuale inutile.
Ad esempio, una minaccia sofisticata che utilizza un exploit zero-day potrebbe superare i filtri e-mail e la normale prevenzione dell’apprendimento automatico, ma può essere rilevata come sospetta da algoritmi di apprendimento automatico sintonizzabili. Viene quindi inviato automaticamente a una sandbox cloud in cui viene raggiunto un verdetto “dannoso” e la minaccia viene automaticamente interrotta e le modifiche vengono ripristinate. Un analista della sicurezza vedrà che l’incidente è stato interrotto e non è necessario indagare su di esso, ma sarà anche in grado di analizzarlo per comprendere potenziali lacune e migliorare la protezione in futuro.
4. Confronta l’efficacia di rilevamento e risposta, l’automazione e la personalizzazione MSP
Le operazioni di sicurezza sono solide quanto le tecnologie da cui dipendono per identificare comportamenti sospetti. La scelta di prodotti EDR o XDR con un’elevata percentuale di rilevamento comprovata e un contesto ricco di avvisi nei test, come MITRE ATT&CK , può ridurre significativamente l’impatto e i costi della correzione degli incidenti di sicurezza o delle violazioni dei dati e accelererà le indagini sugli incidenti. Gli strumenti che consentono l’automazione o includono metodi efficaci per indagare e rispondere possono anche ridurre il tempo e gli sforzi, consentendo anche agli specialisti non di sicurezza di gestire in modo efficiente un portafoglio di sicurezza.
Al di là delle capacità generiche di automazione della sicurezza, l’integrazione con i sistemi di gestione e monitoraggio remoto MSP oi sistemi di ticketing è fondamentale per l’efficienza in termini di tempi e costi. Alcuni strumenti offrono solo integrazioni superficiali e richiedono ulteriori script o personalizzazioni per automatizzare la distribuzione, la creazione di ticket o gli avvisi, mentre altri automatizzano e integrano la maggior parte delle funzioni all’interno dei dashboard RMM. Essere in grado di amministrare facilmente il rafforzamento, la prevenzione, il rilevamento e la risposta per tutti i clienti e gli ambienti con provisioning flessibile e licenze mensili automatizzate sono anche funzionalità disponibili da fornitori di rilevamento e risposta che si concentrano storicamente sulle esigenze MSP ma sono meno comuni tra gli altri fornitori.
Gli strumenti di rilevamento e risposta possono essere confrontati in base a set di funzionalità e tassi di rilevamento in test indipendenti, ma le differenze di risparmio di tempo derivanti dall’automazione e dall’usabilità possono essere confrontate solo provando gli strumenti e persino implementandoli su un numero limitato di clienti o endpoint.
Migliori pratiche MSP
Con le crescenti normative sulla sicurezza dei dati e sulla privacy da soddisfare, le organizzazioni necessitano di capacità di protezione più avanzate, in particolare per le piccole e medie imprese che potrebbero non avere competenze e risorse di sicurezza.
I fornitori di servizi gestiti sono in una posizione ideale per soddisfare l’esigenza di funzionalità di rilevamento e risposta gestite ma, in un ambiente sempre più competitivo, l’efficienza in termini di tempi e costi è fondamentale. I criteri e le migliori pratiche sopra delineati offrono un modello di quanto dovrebbero apparire efficienti il rilevamento e la risposta e descrivono in dettaglio i passaggi migliori per costruire un’architettura di sicurezza che riduca al minimo i costi di sicurezza e le inefficienze di tempo.
Scopri di più su una soluzione di sicurezza informatica cloud unificata e altamente efficace per i provider di servizi gestiti (MSP) .
FONTE: https://businessinsights.bitdefender.com/msp-blueprint-for-efficient-detection-and-response
