In fatto di cybersecurity, l’imperativo oggi è ridurre i tempi. Secondo una ricerca di ESG, accorciare i tempi medi di reazione è considerata una priorità assoluta all’interno delle organizzazioni. Il 77% dei professionisti della sicurezza ammette di avvertire la pressione dei responsabili aziendali per migliorare il rilevamento e la risposta alle minacce informatiche. Compiti che, per più di sette analisti su dieci, sono diventati più complessi negli ultimi due anni.
È cresciuto, infatti, sia il volume sia il livello di sofisticazione delle minacce. Gli attacchi oggi vanno oltre le reti e gli endpoint tradizionali e sfruttano nuovi punti di ingresso per raggiungere cloud, applicazioni SaaS e identità. Di fronte a una superficie di attacco in continua espansione, l’approccio tradizionale basato sulla protezione del perimetro aziendale si rivela ormai insufficiente.
Per far fronte all’ampliamento delle risorse aziendali, ognuna potenzialmente nel mirino dei cyber criminali, le aziende hanno introdotto sistemi di Endpoint Detection and Response (EDR), soluzioni progettate per individuare le minacce dirette verso gli endpoint attraverso sistemi di rilevamento basati su Machine Learning (ML) e Intelligenza Artificiale (AI).
I limiti tecnologici e organizzativi dell’EDR security
Queste soluzioni consentono di analizzare il comportamento degli utenti, esaminando le attività compiute sul dispositivo, e di confrontarlo con gli schemi di attacco già conosciuti, in modo da rilevare eventuali anomali e lanciare l’allarme. Tocca poi al Security Operation Center (SOC) aziendale il compito di verificare gli alert, analizzarli, stabilire le priorità e intervenire tempestivamente per bloccare la minaccia prima che si trasformi in una violazione. Un compito diventato, appunto, sempre più complesso.
Gli esperti di sicurezza si trovano a dover proteggere una superficie di attacco che è cresciuta a dismisura negli ultimi anni, sebbene il numero dei professionisti impegnati su questo fronte sia rimasto pressoché lo stesso all’interno delle organizzazioni. Sempre secondo la stessa ricerca ESG, il 27% dei professionisti che hanno sperimentato l’adozione di soluzioni di rilevamento e risposta alle minacce le ha ritenute superiori alle proprie capacità.
Alert continui, un alto numero di falsi positivi e turni di lavoro spesso massacranti hanno alzato pericolosamente il rischio burnout per gli analisti della sicurezza. Negli ultimi anni è cresciuto infatti il carico di lavoro per i team di security, a fronte di una perdurante carenza di talenti nel settore, e molte aziende ammettono di non avere il personale e le competenze giuste per garantire una giusta protezione.
EDR vs MDR: chi vince?
Invece di aumentare la spesa in tecnologia e andare alla ricerca dell’ennesima soluzione tecnologica, molte organizzazioni hanno deciso di rivolgersi a specialisti esterni. Il servizio Managed Detection and Response (MDR) è oggi uno dei segmenti in più rapida crescita del mercato della cybersecurity, proprio perché permette di poter contare su un team di esperti in outsourcing che monitora gli endpoint, le reti e gli ambienti cloud, e risponde alle minacce informatiche 24 ore su 24, sette giorni su sette.
La ricerca ESG rivela che il 27% delle organizzazioni sta attivamente perseguendo un progetto MDR, mentre un altro 11% prevede di farlo in futuro. Secondo Gartner, entro il 2024 il 40% delle medie imprese utilizzerà MDR provider come unico servizio di sicurezza gestito, visto che il mercato dei Managed Security Services, di cui far parte il MDR, è già cresciuto del 48,9% dal 2020 al 2021.
Oltre alla sicurezza garantita da un team costantemente attivo, il Managed Detection and Response offre anche le risorse e le competenze necessarie per far fronte alle moderne minacce informatiche in modo proattivo, individuando gli schemi di attacco prima che si trasformino in violazioni. Il servizio MDR si integra con le più svariate tecnologie e gli specialisti dedicati collaborano con i SOC interni all’azienda, ampliandone le capacità di analisi e permettendo loro di concentrarsi solo sui segnali d’allarme più significativi e urgenti. Per garantire una protezione più efficace contro ogni genere di attacco informatico.
