Pubblicato: 26 Aprile 2021  -  Ultimo aggiornamento: 10 Maggio 2021

Managed Detection & Response (MDR), le nuove frontiere della cyber security

Managed Detection & Response (MDR), le nuove frontiere della cyber security

Con l’espressione Managed Detection & Response (MDR) si fa rifermento a quei servizi di sicurezza informatica esternalizzati, progettati ad hoc per potenziare le strategie di difesa delle aziende, supportandole nell’individuare e contenere le minacce ai danni di dati e risorse, prima che queste raggiungano il loro picco.

Il volume, la varietà e la complessità degli attacchi cyber, negli ultimi anni, sono aumentati in modo esponenziale. Al punto che le organizzazioni talora faticano a tenere il passo e a mantenere alta la guardia all’interno dei propri reparti deputati alla cyber security.

I servizi MDR – Managed Detection & Response sono concepiti proprio per andare incontro a tali difficoltà, con controlli puntuali, e risposte rapide agli incidenti, coniugando soluzioni tecnologiche e approfondite analisi dei rischi. L’obiettivo è divenire un’estensione dei team che, nelle aziende, si occupano della sicurezza IT. E, dove questi team sono assenti, di esercitarne il ruolo.

Cosa offrono (e con quali vantaggi) i servizi di Managed Detection & Response

I servizi MDR forniscono un’alternativa “chiavi in mano” a quelle imprese che sono alla ricerca di prodotti di sicurezza avanzati, integrando strumenti e metodologie che – per differenti motivazioni – non sempre i team dei Security Operations Center sono in grado di acquisire e di mantenere nel tempo.

E, grazie a questi servizi, il livello di monitoraggio, rilevamento e analisi delle minacce ai danni della sicurezza cyber viene implementato, senza necessariamente dovere sostenere le sfide e i costi di uno staff di sicurezza interno.

I servizi di Managed Detection & Response non si limitano a maggiori capacità di rilevamento e di risposta alla minaccia da remoto. Ma sono in grado di fornire anche una difesa proattiva, percependo anticipatamente i problemi e fornendo informazioni dettagliate sulla tipologia di minaccia.

guida cyber security

Spesso la domanda, da parte delle aziende, verte sul perché scegliere i servizi MDR rispetto a Managed Security Services Provider (MSSP). Alla quale gli esperti rispondono sottolineando come i primi siano servizi focalizzati sulla minaccia e sulla gestione delle vulnerabilità, rispetto alle quali sono progettati per essere “reattivi”. A differenza dei Managed Security Services Provider, si concentrano sul rilevamento dei rischi e sulla risposta a questi, piuttosto che sul monitoraggio degli avvisi di sicurezza.

Inoltre, gli MSSP gestiscono i firewall, ma non forniscono lo stesso livello di ricerca sulle minacce, né l’analisi forense degli MDR. E sono in grado di riconoscere i problemi di sicurezza, ma non di rivelare i dettagli dei pericoli.

Tra le peculiarità dei servizi di Managed Detection & Response, il fatto di poter fornire un monitoraggio 24 ore su 24, sette giorni su sette, da parte di analisti esperti di cyber security per mezzo di rilevamento e risposta alle minacce degli endpoint gestiti.

Managed Detection & Response - Controllo remoto real-time
Managed Detection & Response – Controllo remoto in real-time, 24 ore su 24, 7 giorni su 7

Il rilevamento gode di una copertura particolarmente estesa, oltre che di una vera e propria “caccia” proattiva alle minacce – sulla base di indicatori e di comportamenti acquisiti – ai quali seguono risposte puntuali, analisi forensi e indagini di livello superiore.

Alcuni servizi MDR si servono, in particolare, di sistemi di intelligenza artificiale per il rilevamento avanzato e accurato dei rischi, riuscendo a setacciare milioni di eventi di rete e a identificare attività sospette.

A seconda, poi, del tipo di minaccia e dell’ambiente preso di mira, si potrà avere un impatto sulla riservatezza dei dati, sulla disponibilità alle operazioni (ad esempio, un evento ransomware distruttivo), sulla privacy (ad esempio, violazione dei dati del cliente) o persino sulla sicurezza fisica.

A chi si rivolge il mercato degli MDR

Complice la progressiva crescita del mercato e una sempre maggiore consapevolezza da parte delle aziende (+44% delle richieste degli utenti finali nel corso del 2020), secondo gli analisti di Gartner, entro il 2025, il 50% delle organizzazioni utilizzerà, come unico servizio di sicurezza, i Managed Detection & Response per le funzioni di monitoraggio, rilevamento e risposta alle minacce cyber.

Già a partire dalla metà del 2020 – si legge nell’analisi di Gartner – i servizi MDR sono disponibili presso un numero crescente di fornitori, alcuni del tutto nuovi e altri che, in invece, stanno adeguando le proprie offerte per allinearle alle caratteristiche dell’MDR.

Molti di questi hanno scelto di rivolgersi ad alcuni settori verticali, nell’ambito dei quali sono in grado di offrire competenze e servizi specifici – come, ad esempio le infrastrutture critiche o i siti produttivi – o laddove sussistono particolari problemi legati alla privacy e alla riservatezza dei dati, come il comparto sanitario.

Le strutture quali si rivolgono i fornitori di servizi MDR includono, principalmente, organizzazioni che dispongono di funzionalità minime per le minacce interne e, per le quali, un servizio di Managed Detection & Response costituisce talora l’insieme delle operazioni base di sicurezza.

Queste aziende – osserva Gartner – di solito possiedono all’interno pochi esperti specifici in materia di cyber security, se non nessuno, né hanno l’esperienza necessaria per applicare alcune delle tecnologie avanzate utilizzate nell’ambito sei servizi MDR, 24 ore su 24, sette giorni su sette.

E poi vi sono organizzazioni che desiderano semplicemente mettere in piedi un Security Operations Center “moderno”, affidando tutto in outsourcing a un provider, lasciando per sé il compito di concentrare le proprie risorse interne su altre attività di sicurezza.

Infine, figurano anche quelle imprese che dispongono di un Security Operations Center, ma che desiderano utilizzare i servizi MDR per colmare alcune loro lacune (come, ad esempio, la ricerca delle minacce) o per avere un “terzo occhio” laddove non sono in grado di mantenere la mappatura dei pericoli ai danni della sicurezza informatica.

Insomma – secondo Gartner – il punto di partenza per l’adozione di servizi di Managed Detection & Response sembra provenire dalla risposta alla domanda “abbiamo davvero tutto ciò che è necessario per rilevare le minacce più comuni e conosciute?“.

Alcune linee guida nella scelta del Managed Detection & Response

Gartner, nella sua analisi di mercato, fissa anche alcuni punti che le aziende intenzionate ad affidarsi a fornitori di servizi MDR dovrebbero – a suo avviso – considerare.

In primis, sottolinea che – come per qualsiasi altra attività data in outsourcing, indipendentemente dal fornitore prescelto – se non vengono subito definiti con chiarezza gli obiettivi che si intendono conseguire, le possibilità di successo saranno ridotte.

E mette in guardia dal fatto che, per un’organizzazione, l’acquisto di servizi MDR non sostituisce le “basi” minime per una strategia di difesa dagli attacchi cyber, non esonera dal possederle.

Le politiche e le procedure aziendali di security sono considerate necessarie (in Europa, il GDPR le impone), e alcuni fornitori di MDR non sono in grado di aiutare i propri clienti a svilupparle.

Inoltre, una volta acquistati i servizi, potrebbe essere necessario coinvolgere altri reparti interni – quali, ad esempio, le Risorse Umane e l’ufficio legale – che un Managed Detection & Response non sarà mai in grado di sostituire.

Oltre a quello che il fornitore MDR è pronto a supportare, le aziende dovrebbero poter richiedere quella che è la “conservazione” della risposta agli incidenti, al fine di fare fronte a violazioni importanti delle protezioni di sicurezza.

Infine – rimarcano gli analisti – è importante concentrarsi su provider MDR della propria area geografica o su coloro che utilizzano un’architettura di raccolta dati che aderisce ai requisiti di residenza dei dati. E se si dispone della residenza dei dati e di elevati requisiti di privacy o di altri requisiti di conformità, è necessario verificare che i fornitori di MDR possano rispettarli.

guida cyber security

Tag: