Quando si parla di cybersecurity, la “proattività” rappresenta uno dei pilastri fondamentali per contrastare gli attacchi informatici: la possibilità di prevenire le minacce, invece di rispondere a un cyber threat già in essere, è uno scenario sempre più richiesto dalle organizzazioni. E la tecnologia, andando di pari passo con la domanda, grazie agli ormai diffusi strumenti di MDR - Managed Detection and Response – permette sia di evitare di sottrarsi ai criminali informatici sia di capire origine, obiettivi e finalità degli attacchi.
L’MDR è un servizio che fornisce alle organizzazioni soluzioni per lo scouting delle minacce e per offrire una risposta adeguata. Non solo, coinvolge anche il fattore umano: i fornitori di sicurezza, mediante questo servizio, consentono ai propri clienti di poter accedere a un pool di ricercatori e ingegneri specializzati, responsabili del monitoraggio delle reti, dell’analisi degli incidenti e della risposta a questi.
L’MDR, tuttavia, apre ulteriori questioni al vaglio da parte delle organizzazioni. In prima battuta il tema della mancanza di competenze interne in materia di sicurezza: se la formazione e la creazione dei team di security, che possano dedicarsi a tempo pieno alla caccia delle minacce, è percorribile per le organizzazioni più grandi, la maggior parte delle imprese, soprattutto le medio-piccole, troverà questa necessità di difficile attuazione. Se, quindi, da una parte non si dispone del personale adeguato a intraprendere processi diretti di scouting delle minacce, dall’altro non c’è la disponibilità a investire tempo e denaro per acquisire effettivamente le risorse necessarie. Basti pensare che nel 2021 c’erano, a livello mondiale, 3,5 milioni di posizioni vacanti nel settore della sicurezza informatica.
Ma le sfide non finiscono qui, un’altra riguarda l’implementazione di soluzioni complesse di rilevamento delle minacce e di risposta per gli endpoint (EDR) che spesso non vengono massimizzate a causa della mancanza di tempo, di competenze e dei fondi necessari per formare il personale a gestire le piattaforme apposite. L’MDR integra gli strumenti EDR, rendendoli parte integrante nelle funzioni di rilevamento, analisi e risposta.
Un altro aspetto spesso trascurato, quando si parla di cybersecurity, è l’enorme volume di avvisi che i team IT ricevono regolarmente. Molti di questi, non potendo essere facilmente identificati come dannosi, devono essere controllati singolarmente. Inoltre, i gruppi di sicurezza devono saper contestualizzare e correlare queste minacce: solo certe corrispondenze, molto spesso frutto di indicatori apparentemente insignificanti, possono rivelare se si è di fronte a un attacco più ampio. Vien da sé che tutte queste esigenze analitiche possono sopraffare le imprese più piccole e sottrarre tempo e risorse preziose alle attività legate al core business. L’MDR in questi casi può essere un supporto efficace in quanto mira ad affrontare queste difficoltà non solo rilevando le minacce ma anche analizzando tutti i fattori e gli indicatori coinvolti in un avviso.
Il servizio di Aruba Enterprise
In Aruba Enterprise il modello di governance delle attività di MDR è doppio. Le responsabilità del fornitore riguardano:
- il monitoraggio dei servizi, delle risorse e dei principali indicatori di performance, il tuning dei sensori;
- l’analisi delle minacce rilevate;
- l’esecuzione di azioni di remediation, con eventuale coinvolgimento del cliente se necessario;
- la reportistica sullo stato del servizio e la comunicazione di modifiche alla configurazione del servizio MDR.
Il cliente, dal canto suo, deve solo richiedere l’esclusione di specifici file o cartelle e la comunicazione di modifiche ad applicazioni e servizi.
Concludendo
Le tecnologie odierne possono avere la capacità di bloccare le minacce, ma scavare più a fondo nel “come”, nel “perché” e nel “cosa” richiede un intervento umano. Tuttavia l’MDR è progettato per risolvere il problema del divario di competenze in materia di sicurezza informatica di un'organizzazione, idealmente a un costo inferiore rispetto a quello che l'azienda dovrebbe sostenere per creare il proprio team di sicurezza. Molti i casi d’uso: dal supporto al reparto IT alla risoluzione nell’assenza di competenze cyber. Inoltre, per organizzazioni non in grado di intervenire tempestivamente in caso di incident o di adottare un approccio proattivo, l’MDR si pone come uno strumento di riferimento, solido e capace di sostenere un carico IT elevato. E ancora, aspetto da non sottovalutare, solo affidandosi a un servizio di MDR si possono avere a disposizione strumenti di analisi predittiva basati su Machine Learning e AI per il rilevamento e la protezione anche da malware ancora sconosciuti.
Approfondisci la soluzione MDR di Aruba Enterprise descritta in
questo documento