Che cos'è MDR (Managed Detection and Response)?
Managed Detection and Response, o MDR, è una soluzione di cybersecurity completamente gestita che integra servizi di esperti di sicurezza, threat intelligence e strumenti avanzati per offrire alle organizzazioni una protezione dalle minacce 24 ore su 24, 7 giorni su 7.
La crescente minaccia che la cybersecurity rappresenta per i singoli utenti e le aziende a livello globale è ben documentata, ma quello che forse non sappiamo è in che misura alcune organizzazioni si stiano adoperando per mantenere solide difese e meccanismi di risposta.
Stando a una ricerca di Kaspersky, il 41% dei professionisti della sicurezza informatica afferma che i team di cybersecurity delle loro organizzazioni sono “leggermente” o “significativamente sottodimensionati”. Questo significa che c'è una grande richiesta di professionisti della sicurezza e che le organizzazioni hanno sempre più difficoltà ad attirare e trattenere personale sufficiente in possesso delle giuste competenze. Le ripercussioni riguardano qualsiasi tipo di azienda: il World Economic Forum ha individuato nel gap di competenze la maggiore sfida in termini di cyber-resilienza per il 52% delle organizzazioni pubbliche. Allo stesso tempo, meno della metà delle aziende più piccole afferma di disporre delle competenze per rispondere e riprendersi da un attacco informatico.
Per questo motivo, molte aziende si stanno rivolgendo a servizi gestiti per avere accesso alle soluzioni e all'esperienza necessarie per tenere al sicuro dati, sistemi, applicazioni e utenti. Uno dei modi più efficaci per raggiungere questo obiettivo è attraverso MDR (Managed Detection and Response), ma solo adesso le organizzazioni stanno gradatamente realizzando l'importanza della sicurezza MDR per le proprie attività. Da una ricerca di Gartner è emerso che nel 2023 solo il 30% delle organizzazioni ha sfruttato attivamente le capacità di interruzione e contenimento delle minacce da remoto offerte dai provider MDR, anche se questa percentuale è destinata a salire al 50% entro il 2025. Appena in tempo: Kaspersky MDR (Managed Detection and Response) ha elaborato più di 430 eventi di sicurezza nel 2023 e la maggior parte degli incidenti critici è stata rilevata all'interno di agenzie governative, organizzazioni industriali e finanziarie. Il panorama delle cyberminacce è in costante evoluzione e per molte organizzazioni è difficile stare al passo.
Come funziona Managed Detection and Response?
Quindi, che cosa fa in pratica MDR? È una forma di cybersecurity, fornita come servizio gestito e progettata per velocizzare l'identificazione e la correzione delle minacce, riducendo al minimo la portata dell'impatto che possono avere sulle aziende. Nell'ambito di MDR l'aspetto umano della sicurezza si combina con tecnologie avanzate in modo da generare un'efficienza sostanziale in termini di costi e risorse.
I servizi MDR più validi prevedono in genere cinque funzionalità principali:
Prioritizzazione degli eventi
La combinazione dell'ispezione degli eventi di sicurezza da parte di personale qualificato e la valutazione degli eventi in base a regole automatizzate prestabilite identifica quali eventi sono più rilevanti o rischiosi di altri. Ai falsi positivi e agli eventi che difficilmente si riveleranno un problema viene assegnata una priorità inferiore, mentre le questioni più serie vengono spostate all'inizio della coda in modo da essere esaminate dagli altri servizi MDR e valutate in maggiore dettaglio.
Ricerca delle minacce
L'automazione è uno strumento estremamente potente per identificare potenziali minacce, ma non può essere considerata l'unica soluzione. I ricercatori di minacce altamente qualificati sono preparati a identificare attività anomale e tutti i tipi di comportamenti che i cybercriminali adottano quando mettono in atto un potenziale data breach o attacco. Tra gli sforzi umani e digitali, le minacce possono essere contrassegnate molto più rapidamente, cosa che a sua volta consente una correzione più veloce.
Indagine sulle minacce
Dopo avere identificato le minacce, la fase successiva consiste nell'analizzarle in profondità e andare a fondo del problema. I servizi di investigation gestita scandagliano tutti gli aspetti di un incidente (cosa, dove e quando) e identificano sistemi, dati, applicazioni e utenti effettivamente, o potenzialmente, interessati. Tutto questo contesto è essenziale per identificare il modo più efficace e appropriato per risolvere la minaccia.
Assistenza nella risposta
Collaborare con un partner per la sicurezza MDR garantisce alle organizzazioni l'accesso a consulenze e soluzioni. Gli esperti possono attingere alle loro competenze e alle informazioni raccolte durante la ricerca e l'indagine sulle minacce per consigliare il modo migliore per affrontare il problema. Ad esempio, come eliminare una minaccia in procinto di essere messa in atto o come rispondere e riprendersi da un attacco che si è appena verificato.
Remediation gestita
I processi di remediation, dove richiesti, hanno lo scopo di rimuovere tutte le tracce di una minaccia e riportare sistemi, applicazioni e dati allo stato in cui si trovavano prima dell'attacco. Può trattarsi di un'ampia gamma di processi, come rimozione del malware, pulizia del Registro, rifiuto di accessi non autorizzati, ripristino del sistema e altre misure. Quali misure utilizzare dipende dalla natura della minaccia o dell'attacco e la scelta viene effettuata in collaborazione con gli esperti di sicurezza MDR.
Qual è la differenza tra MDR e un software anti-virus tradizionale?
La differenza principale tra i servizi MDR e la sicurezza basata su un anti-virus tradizionale è che MDR è proattivo, mentre l'anti-virus è reattivo.
In generale, i sistemi anti-virus si basano sul rilevamento delle firme, per cui diverse varianti di malware hanno il proprio fingerprinting, di cui i sistemi vanno alla ricerca. Tuttavia, sempre più cybercriminali stanno sviluppando varianti di malware uniche diverse da tutte le altre che, pertanto, non possono essere rilevate attraverso il fingerprinting. E in qualsiasi caso, l'anti-virus non è in grado di rilevare queste varianti finché non si presentano e a quel punto potrebbe essere troppo tardi per prevenire le possibili ripercussioni.
Gli strumenti di Managed Detection and Response, invece, vanno alla ricerca in modo proattivo delle infezioni malware nei sistemi 24 ore al giorno, sette giorni alla settimana, e ne mitigano gli effetti.
Qual è la differenza tra MDR e EDR?
EDR sta per Endpoint Detection and Response e si basa sulla serie di regole automatizzate utilizzate nella fase di assegnazione delle priorità di MDR. Un'implementazione EDR registra eventi e modelli comportamentali su tutti gli endpoint, che vengono quindi valutati sulla base delle regole automatizzate stabilite dai team di sicurezza. Qualsiasi modello o attività sospetta rilevata viene contrassegnata per consentire un'ulteriore indagine da parte del team di sicurezza.
Per molte organizzazioni, EDR è pertanto una parte costitutiva di MDR, che opera di pari passo con esperti di sicurezza IT qualificati e processi e metodologie ben definiti.
Managed Detection and Response è la stessa cosa di XDR?
Non esattamente. In parole povere, XDR (Extended Detection and Response) porta i principi di MDR a un livello superiore. XDR integra un'enorme quantità di dati raccolti da un'ampia gamma di diverse fonti per rendere il threat hunting e l'investigation ancora più informati e proattivi. Sfrutta anche strumenti più avanzati, tra cui prevenzione della perdita dei dati e gestione di identità e accessi (IAM, Identity and Access Management), per ottenere una visibilità completa sul panorama delle minacce all'interno di un'azienda.
Quali sono i vantaggi principali di MDR?
I servizi di Managed Detection and Response possono trasformare l'approccio alla sicurezza di un'organizzazione in tanti modi diversi e migliorare le prestazioni in ogni area delle operazioni di sicurezza. I vantaggi della sicurezza MDR includono, a titolo di esempio:
Tempi di rilevamento ridotti
Alcune organizzazioni impiegano diversi mesi per individuare un incidente di sicurezza, nel corso dei quali potrebbe causare danni indicibili a sistemi, applicazioni e dati senza che l'azienda nemmeno se ne accorga. MDR può ridurre questi tempi non solo a giorni o ore ma addirittura a pochi minuti, in modo da diminuire notevolmente la potenziale portata dell'impatto di un attacco.
Approccio alla sicurezza migliorato
I servizi MDR possono rendere un'azienda più forte e resiliente in caso di attacco, riducendo notevolmente le probabilità che una violazione abbia un effetto dirompente. Contribuiscono inoltre ad assicurare che la configurazione complessiva della sicurezza dell'azienda sia ottimizzata e rimanga tale anche con l'evoluzione delle esigenze aziendali e dei profili di attacco.
Rilevamento continuo delle minacce
La capacità degli strumenti di Managed Detection and Response di cercare le minacce 24 ore al giorno, sette giorni alla settimana, 365 giorni all'anno assicura che le minacce e il malware non possano annidarsi all'interno dei sistemi, pronti per essere attivati in futuro. I modelli di dati e il comportamento vengono analizzati su una base costante, in modo che l'attività anomala possa essere contrassegnata anche prima che accada qualcosa di dannoso.
Risposta e remediation rapide alle minacce
Tutti i tre punti menzionati in precedenza contribuiscono a una risposta e a una remediation alle minacce molto più rapide di quanto altrimenti possibile. Essere a conoscenza prima di un problema consente di rispondere più tempestivamente alle minacce nell'ambito di MDR, il che significa che le giuste attività di remediation possono essere applicate all'area interessata in maniera molto più tempestiva.
Carico inferiore per lo staff di sicurezza
Considerando la carenza di personale addetto alla sicurezza, obbligare i tecnici ad avere a che fare con svariate tecnologie di sicurezza può comportare maggiore stress e pressione sul tempo prezioso a loro disposizione. Questo può portare a incidenti che passano inosservati, oltre a un utilizzo improprio degli strumenti disponibili per il personale semplicemente per mancanza di tempo. Delegare buona parte di questo carico a servizi gestiti ed esperti qualificati di terze parti può attenuare questa pressione e massimizzare quotidianamente l'efficacia del team interno.
Rischio minimizzato di un numero eccessivo di avvisi
L'utilizzo massiccio di tecnologie di sicurezza amplia il numero di avvisi e incidenti di cui il team di sicurezza viene a conoscenza e che si trova quindi a gestire. Oltre a rivelarsi noioso, ripetitivo e soggetto a errore umano, questo rende anche difficile per il personale addetto alla sicurezza identificare le questioni più urgenti da risolvere prima delle altre. I processi di assegnazione delle priorità nell'ambito dei servizi MDR risolvono questo problema analizzando e contrassegnando i problemi più urgenti e gestendo il triage degli eventi per conto del team di sicurezza.
Cosa cercare in un servizio di Managed Detection and Response?
Il mercato dei servizi MDR è solido: da una ricerca di Gartner emerge che il mercato MDR cresce a un tasso del 48% e si prevede che raggiungerà i 2,2 miliardi di dollari entro il 2025. Questo significa che sono disponibili molti provider diversi di strumenti di Managed Detection and Response, cosa che può rendere difficile identificare quello giusto per le specifiche esigenze e necessità. Nell'ambito del processo di selezione, ecco i quattro attributi da prendere in considerazione:
Capacità MDR aggiuntive
Per quanto il team di sicurezza possa già disporre di una base di competenze solida, considerando il gap di competenze globale potrebbero comunque esserci alcune aree da consolidare. Occorre identificare queste carenze all'inizio del processo di selezione del vendor e cercarne uno specializzato in quelle specifiche competenze e maturità, in modo da consolidare e completare il team interno.
Conoscenze e capacità di sicurezza MDR
I servizi di Managed Detection and Response più validi avranno una conoscenza aggiornata dell'attuale panorama della sicurezza. Sapranno quali sono le ultime minacce emergenti a cui prestare attenzione e saranno a conoscenza di molti dei fattori sottostanti che portano al cybercrimine, incluse eventuali circostanze geopolitiche e culturali implicate. Queste conoscenze, insieme alle capacità e alle competenze di sicurezza, offriranno un valore aggiunto a buona parte dei team di sicurezza interni.
Fornitura di servizi MDR e collaborazione
L'esperienza e le competenze offerte da un potenziale servizio di sicurezza MDR possono essere soddisfacenti, ma devono comunque adattarsi al team e alle tecnologie esistenti e a una più ampia organizzazione. Devono essere in grado di dimostrare un forte impegno per una comunicazione chiara, in modo che il flusso delle informazioni tra le parti sia immediato. Questo aiuterà il team di sicurezza interno a diventare operativo rapidamente e ad adottare il nuovo approccio molto più tempestivamente. Devono inoltre garantire un impegno per una protezione 24 ore su 24, 7 giorni su 7, per tenere al sicuro i sistemi al di fuori del normale orario lavorativo dello staff di sicurezza.
Soluzioni complete
In ultima analisi, va cercato un prodotto di sicurezza MDR che copra tutte le basi. Una soluzione come Kaspersky Managed Detection and Response offre tecnologie di protezione avanzate, threat hunting proattivo, risposte automatiche e guidate e un'esperienza riconosciuta a livello globale a cui attingere. Questo garantisce non solo che il rischio di cyberminacce sia ridotto al minimo, ma anche che l'investimento per la sicurezza IT in MDR sia massimizzato.
Kaspersky Managed Detection and Response e Kaspersky Incident Response sono stati classificati tra le tecnologie leader del 2023 da Quadrant Knowledge Solutions, un riconoscimento dell'alto livello di efficacia di queste soluzioni per la protezione delle organizzazioni dai cybercriminali.
Articoli correlati:
