Secondo l’ultimo rapporto del Clusit, negli ultimi quattro anni si è registrata una crescita del 60% del numero di attacchi, con la media mensile di attacchi gravi passata da 130 a 207. Le tattiche, le tecniche e le procedure (TTP) utilizzate dai moderni attori delle minacce sono infatti diventate sempre più sofisticate. Il movimento clandestino digitale si è, a suo modo, organizzato e specializzato: gli attaccanti sono diventati parte di un’industria che offre servizi cloud, come Malware-as-a-Service e Ransomware-as-a-Service, e opera in team formali come RansomOps. Continuiamo a riferirci a loro in termini criminali, parlando di “gang”, ma questo non significa che siano degli sprovveduti o che i loro attacchi siano meno efficaci. Per batterli, le organizzazioni devono affrontarli alle loro stesse condizioni, ovvero dotandosi di capacità di rilevamento e risposta 24 ore su 24, distribuite su larga scala. È l’unico modo per consentire ai Security Operation Center (SOC), poco equipaggiati e sempre più carichi di lavoro, di diventare veri e propri “threat hunter”. Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI, spiega in questo come massimizzare i vantaggi del Managed Detection and Response (MDR).
Il ruolo dell’MDR
Fornire tali capacità rappresenta però una sfida, così come garantire la copertura di ambienti in continua espansione che comprendono on premises, cloud, piattaforme di identità e tutti i sotto-ambienti, i carichi di lavoro, le applicazioni e i servizi al loro interno. Per affrontare questa moltitudine tecnologica le aziende spesso si dotano di un numero sempre maggiore di soluzioni puntuali. Tuttavia, l’eccesso di strumenti rende più difficile il lavoro per i team sovraccarichi, portando al burnout e all’aggravarsi dei problemi.
Il Managed Detection and Response (MDR) è l’antidoto a tutto questo. Applica un modello di responsabilità condivisa, fornendo competenze di settore di alto livello, su richiesta, e restituendo al contempo il controllo dell’ambiente al suo proprietario. Ciò avviene grazie a un’Intelligenza Artificiale avanzata e contestualizzata che fornisce un’intelligence dei segnali di attacco di livello superiore agli operatori della sicurezza.
L’Attack Signal Intelligence di Vectra riduce notevolmente le esigenze del personale addetto alla sicurezza, eliminando il rumore di fondo degli alert e assumendo la responsabilità delle attività manuali. L’MDR può essere utilizzato sia per delegare all’esterno il lavoro di rilevamento e risposta delle minacce sia per potenziare il team interno all’azienda. In entrambi i casi, aiuta a risolvere molti dei problemi posti dall’attuale panorama delle minacce.
Ecco allora cinque best practice che consentono alle organizzazioni di ottimizzare il return on investment (ROI) dei servizi di Managed Detection and Response:
1. Responsabilità condivisa
Sia che si utilizzi l’MDR per integrare un SOC esistente, sia che lo si utilizzi come modello di outsourcing della sicurezza, i risultati migliori emergeranno da una chiara comprensione dei ruoli e delle responsabilità suddivise tra le varie parti interessate sia dal lato del cliente sia dal lato del fornitore. La trasparenza su responsabilità e attività introduce infatti nell’ecosistema della sicurezza il decisivo elemento della prevedibilità. Non solo si assegnano i compiti in base ai service level agreements (SLA), ma i registri di sistema tengono traccia di chi li svolge e quando. Le omissioni e gli errori diventano così chiari per tutti e si può creare la necessaria fiducia tra i team MDR e i clienti.
2. Onboarding collettivo
La strategia e la policy devono essere comprese da entrambi i team. Anche se il cliente sta esternalizzando la funzione di sicurezza, è necessario istituire un team di collegamento per supervisionare piani, decisioni e azioni. Molte delle attività che si svolgono durante un incidente sono time-sensitive, ma devono anche tenere conto della natura dell’azienda. I team di risposta, siano essi MDR, clienti o una combinazione di essi, devono essere in grado di agire rapidamente, tenendo in debita considerazione le operazioni di business. Le azioni e le priorità devono essere accuratamente documentate in un runbook e aggiornate immediatamente quando le esigenze cambiano.
3. Integrazione perfetta
L’MDR deve integrarsi con gli strumenti, le soluzioni e le infrastrutture cloud esistenti, quelle che servono alla funzione di cybersecurity, all’IT e alle operazioni aziendali principali. Uno degli obiettivi dell’MDR è ridurre la complessità, ma deve farlo senza alcun impatto sulle operazioni quotidiane. L’expertise investigativa, l’ottimizzazione della configurazione e la visibilità globale dell’Attack Signal Intelligence consentono al fornitore di MDR di gestire l’integrazione a vantaggio del cliente e di ridurre al minimo le interruzioni. Le offerte cloud-native di MDR dovrebbero integrarsi con le principali soluzioni di Endpoint Detection and Response (EDR) per migliorare l’efficacia di Attack Signal Intelligence.
4. Eliminare il rumore di fondo e affrontare le minacce sconosciute
Gli attacchi Zero-day possono facilmente passare inosservati nei momenti più tranquilli. L’Intelligenza Artificiale dell’MDR riduce il rumore di fondo degli alert che gli attaccanti possono utilizzare per mascherare le proprie infiltrazioni. I team MDR sono sempre in una modalità di “messa a punto”: modificano le policy e le configurazioni per garantire che l’apparato di sicurezza diventi un ascoltatore attento e attivo e non un generatore di avvisi continui e di reazione. L’MDR, come funzione, impara da ogni allarme e incidente per perfezionare l’ecosistema della sicurezza e garantire che solo le minacce autentiche impegnino il tempo dei professionisti.
5. Estendere il team di sicurezza
Secondo il Security Leaders Research Report di Vectra in Italia l’88% dei professionisti della sicurezza ha avvertito maggiormente la responsabilità di tenere al sicuro l’organizzazione e il 40% che si sente vicino al burnout. L’esperienza e le capacità di controllo dell’MDR consentono agli analisti interni di vivere un’esperienza più positiva, riducendo così i tassi di abbandono. L’MDR offre alle organizzazioni ciò che prima non avevano. Se non dispongono di un team di sicurezza, l’MDR può svolgere il ruolo nella sua interezza, sotto l’adeguata supervisione del team di collegamento. Se il SOC ha semplicemente bisogno di più personale, può ricevere supporto in tal senso, con il team MDR che riferisce al CISO del cliente. Servono più strumenti? Nessun problema. L’MDR è un archivio di conoscenze, esperienze, tecnologie e altro ancora. È lo strumento giusto per potenziare ciò che serve alla sicurezza del cliente.
L’MDR porta l’Attack Signal Intelligence
Essere in grado di vedere e mitigare una minaccia prima che faccia danni. Sembra un requisito così semplice, eppure le sfide che ci sono dietro impegnano i CISO più esperti. L’MDR elimina molte di queste sfide – come la mancanza di risorse e di personale – e restituisce al proprietario dello stack IT il controllo delle proprie risorse digitali. L’Attack Signal Intelligence scaturisce naturalmente dalle configurazioni MDR, raccogliendo la telemetria più preziosa e consentendo ai SOC di rafforzare le difese e costruire un patrimonio digitale più sicuro.