Protezione as a service chiavi in mano

Security as a Service: il futuro della sicurezza informatica.

Avendo lavorato con i modelli Software-as-a-Service (SaaS) per un certo periodo di tempo, ora siamo sempre più propensi verso modelli simili per la fornitura di intere infrastrutture (IaaS) e piattaforme (PaaS). Pensiamo che questo sia un buon cammino per le aziende di tutto il mondo; l’utilizzo di una soluzione “chiavi in mano” aiuta le aziende a concentrarsi sui loro compiti principali. Ma è possibile fornire alle grandi aziende una protezione completamente integrata all’interno di un modello Security-as-a-Service?

La nostra idea di protezione “chiavi in mano”

Per rispondere a questa domanda, dobbiamo prima definire cosa intendiamo per protezione completamente integrata. Se parliamo di aziende di grandi dimensioni, allora significa protezione dell’infrastruttura durante tutte le fasi di risposta alle minacce:

  • Nella fase di prevenzione degli incidenti, utilizzando soluzioni endpoint specifiche per endpoint;
  • Nella fase di rilevamento delle minacce, attraverso il monitoraggio e l’analisi dei dati, che passano dalle soluzioni di sicurezza client al Security Operation Center (SOC);
  • Nella fase di individuazione delle minacce, che prevede la verifica di ipotesi di nuove minacce e l’esecuzione di analisi retroattive dei dati storici alla ricerca di nuovi indicatori di compromissione e di indicatori di attacco (IoCs/IoAs);
  • Nella fase di convalida delle minacce, durante la quale il team SOC determina se un particolare evento sospetto sia una minaccia reale o un’azione legittima (un falso allarme);
  • Nella fase di risposta all’incidente, ricreiamo la catena di attacco e proponiamo raccomandazioni per la correzione.

Le soluzioni di sicurezza di tipo Endpoint Protection Platform e di tipo Endpoint Detection and Response (EDR), gestiscono la prima fase in modalità automatica. In tutte le fasi successive, il coinvolgimento di esperti SOC è fondamentale. Tuttavia, non tutte le aziende possono permettersi un SOC interno.

E le aziende senza SOC?

Avere un SOC interno non è una condizione necessaria per una protezione completa. Infatti, la maggior parte delle grandi aziende non ce l’ha, solo il 20% circa, (confrontando sulla piattaforma Gartner Peer Insights il numero totale di recensioni per le piattaforme di tipo Endpoint Protection con il numero di recensioni per le soluzioni di tipo EDR (Endpoint Detection and Response), che implicano la necessità di un SOC).

Come se la cava il restante 80%? Un’opzione sensata per la maggior parte delle persone è quella di delegare le funzioni di sicurezza. Il lavoro degli esperti di cercare le minacce, valutarle, confermarle e rispondere agli incidenti può essere svolto da un Managed Security Service Provider (MSSP) o da un vendor di soluzioni di sicurezza che si occupa essenzialmente di una parte delle funzioni di un MSSP (il nostro caso).

Risposta agli incidenti di Kaspersky (MDR): soluzione Security as a Service basata su una PaaS pubblica.

Con questo approccio, i clienti ottengono una serie di soluzioni dalle funzionalità molto più ampie rispetto al normale EDR. Comprende sia il rilevamento delle minacce mediante l’analisi delle anomalie del traffico di rete (Network Detection and Response, NDR), sia la possibilità di far interpretare le informazioni sugli incidenti da esperti (Managed Detection and Response, MDR). Il nostro SOC è unico nel suo genere in quanto i nostri esperti hanno accesso rapido alle informazioni sugli incidenti e sulle nuove minacce in tutto il mondo, in base alle quali possono prendere provvedimenti nell’interesse del cliente. E sebbene i processi di rilevamento e risposta alle minacce (EDR + NDR = XDR) siano già abbastanza ben automatizzati, stiamo migliorando costantemente quest’ambito e prevediamo di rafforzarlo in futuro.

La metodologia di valutazione ATT&CK ha già verificato l’efficacia del nostro approccio. Data la natura specifica dell’approccio, la seconda fase di valutazione MITRE ATT&CK si è concentrata esclusivamente sulle capacità di rilevamento delle nostre soluzioni. Pertanto, la risposta agli incidenti, la prevenzione e la ricerca delle minacce, in cui i nostri esperti SOC hanno grandi capacità, sono stati intenzionalmente esclusi dalla valutazione.

Le nostre soluzioni EDR si sono inoltre dimostrate affidabili e adatte sia per i SOC interni che per quelli esterni. Sempre secondo il Gartner Peer Insights, la nostra soluzione Kaspersky Anti Targeted Attack fa parte della Top 3 e fa parte del “Customers’ Choice for Endpoint Detection and Response“. Un enorme ringraziamento va a tutti i nostri clienti che si sono presi il tempo di lasciare una recensione.

Classifica delle soluzioni EDR secondo il Gartner Peer Insights. Fonte: Gartner.

Riassumendo, crediamo che il futuro della sicurezza delle informazioni appartenga senza dubbio al Security-as-a-Service, ma con la possibilità per il cliente di selezionare il grado di automazione del toolkit scelto e di aggiornare la soluzione “chiave in mano” con funzionalità aggiuntive.

Consigli