Gli attori delle minacce informatiche continuano a evolversi e i difensori devono rimanere uno o più passi avanti.
Insieme al panorama mutevole delle minacce ci sono le innovazioni nel business e nelle operazioni aziendali stesse. Siamo passati da un mondo locale delimitato da un perimetro di rete gestibile a un'infrastruttura distribuita e basata su cloud, con lavoro remoto e 5 miliardi di teleconferenze mensili (fonte IBM Research) che si aggiungono alla complessità di garantire la sicurezza aziendale e operativa. Inoltre, come vi dirà qualsiasi CISO, il numero di attacchi informatici, aggressori informatici e set di strumenti offensivi è in aumento.
Le tecnologie di sicurezza del passato non sono state costruite per far fronte al panorama delle minacce complesso e in rapido movimento di oggi. La prova di ciò è convincente: crescenti attacchi ransomware associati a violazioni dei dati e furto di IP, team SOC in difficoltà che affrontano troppi allarmi, la carenza di personale e la proliferazione di attacchi che hanno successo nonostante la presenza di strumenti di sicurezza tradizionali
È chiaro che abbiamo bisogno di un approccio nuovo e più olistico al rilevamento e alla risposta, che non solo comprenda gli endpoint tradizionali, ma includa anche la maggiore superficie di attacco come rete e cloud.
Quando si parla di approccio olistico nei sistemi di rilevazione si intende un concetto teoricamente molto semplice: i sistemi di difesa tradizionale come antivirus, antispam sono necessari, ma non più sufficienti. Infatti sebbene svolgano correttamente il loro lavoro in modo specifico e verticale, lasciano per loro natura delle zone grigie tra di loro. Questi sistemi di difesa "a silos" non sono però in grado di rilevare minacce avanzate come zero-day e movimenti laterali.
Gli strumenti EDR, ad esempio, hanno portato visibilità e risposta automatizzata a endpoint come laptop e workstation, ma la rete odierna possiede molti più punti di accesso per i criminal hacker intenzionati ad accedervi.
Serve quindi un approccio al rilevamento e risposta "Cross-Layered" o "Any Data Source", che si estenda oltre l'endpoint e sia in grado di raccogliere dati da ogni sistema, correlandone le informazioni per prendere decisioni basate sui dati di più prodotti e può agire su tutto il tuo stack tecnologico.
Questa tipologia di strumenti sostituisce la sicurezza in silos e aiuta le organizzazioni ad affrontare le sfide alla sicurezza informatica da un punto di vista unificato.
Un tipico attacco ransomware attraversa la rete, arriva in una casella di posta elettronica e quindi attacca l'endpoint. Affrontare la sicurezza esaminando ciascuno di questi contesti in modo indipendente mette le organizzazioni in una posizione di svantaggio.
Con un unico pool di dati che comprende informazioni provenienti dall'intero ecosistema, La piattaforma intelligente di CYBEROO - Cypeer - consente un rilevamento e una risposta alle minacce più rapidi, profondi ed efficaci rispetto a EDR, raccogliendo e confrontando i dati da una gamma più ampia di fonti.
Inoltre, grazie all'intelligenza artificiale e all'automazione, aiuta a ridurre l'onere del lavoro manuale sugli analisti della sicurezza. Una soluzione di questo tipo può rilevare in modo proattivo e rapido minacce sofisticate e fin ora sconosciute (0day), aumentando la produttività del team di sicurezza o SOC e restituendo tempo al tuo team IT per la ripresa della normale operatività.
MDR, te lo promettiamo, è l'ultimo acronimo che devi imparare, sta per Managed Detection & Response. MDR non è una tecnologia, ma un servizio, che tramite un SOC o un team di risorse specializzate in cyber security è in grado di analizzare, gestire e rispondere alle minacce informatiche al posto tuo. In pratica un'estensione del tuo reparto IT, ma senza l'impegno di dover assumere e formare nuovo personale.
MDR affronta molti problemi significativi che affliggono le imprese moderne: