Negli ultimi anni, il panorama della sicurezza informatica è diventato sempre più complesso e dinamico, con minacce che evolvono rapidamente e con un livello di sofisticazione crescente.
Ogni azienda, indipendentemente dalle dimensioni o dal settore di appartenenza, deve affrontare il tema della protezione dei dati, delle infrastrutture, della privacy, della compliance a leggi e direttive come a esempio GDPR e NIS2, in un contesto in cui gli attacchi informatici stanno diventando non solo più frequenti, ma anche più complessi e più dannosi.
In questo articolo ho l’obiettivo di discutere perché l’implementazione di un servizio di MDR (Managed Detection and Response) è una scelta moderna, innovativa e soprattutto più efficace per iniziare a costruire un solido approccio alla sicurezza informatica in un’azienda, rispetto all'adozione di metodi più tradizionali come l’assessment, security/risk/vulnerability o addirittura il Penetration Test.
Quella che vorrei fosse diffusa è la consapevolezza di fare il primo passo nella direzione giusta disegnando un cammino consapevole che permetta di semplificare e non creare, strato su strato, un elenco infinito di problematiche.
Qual è la situazione attuale?
Da un lato Infrastrutture complesse, cloud, smartworking hanno contribuito ad aumentare enormemente la superficie di attacco, dall’altro siamo ormai abituati a dar per consolidato che gli attaccanti abbiano accesso a strumenti sempre più sofisticati, con attacchi come il ransomware, il phishing avanzato e le Advanced Persistent Threats (APT).
Gli impatti di una violazione della sicurezza possono essere devastanti, sia in termini di costi diretti (ad esempio il riscatto richiesto da un attacco ransomware) che di costi indiretti, come la perdita di reputazione, la diminuzione della fiducia dei clienti, le sanzioni legali e le ripercussioni sul business, gli impatti sulla filiera ai fini delle certificazioni.
Perché non un assessment ma un servizio gestito?
Un Vulnerability Assessment è un processo sistematico per identificare e classificare le vulnerabilità nei sistemi informatici, reti e software. Questi assessment forniscono una panoramica delle potenziali falle di sicurezza, ma non tentano di sfruttarle.
Un Penetration Test è una simulazione controllata di un attacco, con l'obiettivo di identificare le vulnerabilità sfruttabili nei sistemi e testare la loro resistenza a intrusioni reali. I penetration test forniscono risultati molto dettagliati, ma spesso limitati dal fatto che rappresentano una costosa istantanea della sicurezza in un determinato momento.
La maggior parte dei limiti dei Vulnerability Assessment e dei Penetration Test si possono riassumere in tre macroaree:
- Fotografia puntuale: sia gli assessment che il penetration test sono limitati dall’essere una visione statica della sicurezza aziendale da contrapporre alle minacce che per loro natura sono tipicamente dinamiche e in continua evoluzione.
- Mancanza di monitoraggio continuo: un assessment non offre per sua natura un monitoraggio e un rilevamento continuo delle minacce. Dopo il test, pertanto, le vulnerabilità potrebbero cambiare e i sistemi aziendali evolvere, lasciando l’infrastruttura inconsapevolmente esposta.
- Costi elevati per test regolari: condurre regolarmente penetration test ben eseguiti può essere molto costoso e dispendioso in termini di risorse. Per questo vedremo nel prossimo paragrafo come un servizio gestito può ridurre il carico operativo sull'azienda, permettendo al personale interno di concentrarsi su altre attività strategiche.
Perché un servizio di Managed Detection and Response (MDR)
Un servizio di Managed Detection and Response (MDR) combina tecnologie avanzate di monitoraggio, rilevamento e risposta, sviluppate dl Vendor, con un team dedicato di esperti di sicurezza, del vendor stesso, che gestiscono le attività per conto dell'azienda. L'obiettivo principale dell'MDR è fornire una difesa continua contro le minacce, 24 ore su 24, 7 giorni su 7.
I principali vantaggi di un servizio MDR sono facilmente riassumibili come segue.
- Monitoraggio continuo: l’MDR monitora costantemente le reti, i dispositivi e le applicazioni, Internet (Surface, deep e Dark web) per individuare attività sospette. A differenza del vulnerability assessment o del penetration test, che forniscono una valutazione in un momento specifico, l’MDR funziona in modo continuo, monitorando l'ambiente IT aziendale in tempo reale e identificando comportamenti sospetti appena si verificano. Questo significa che le minacce vengono rilevate mentre sono in corso, non solo dopo che si sono manifestate.
- Rilevamento avanzato delle minacce: un vulnerability assessment e un penetration test sono metodi corretti ed efficaci per identificare le vulnerabilità già note. Tuttavia, non sono in grado di proteggere contro le minacce sconosciute o gli attacchi zero-day. Per questo è necessario l'approccio olistico di un MDR che utilizza strumenti avanzati come l'intelligenza artificiale e il machine learning per rilevare anomalie di sistema e comportamenti sospetti che potrebbero indicare la presenza di minacce sconosciute come ad esempio attacchi zero-day. In questo modo, è possibile proteggere l'azienda anche dalle minacce sconosciute, fornendo un livello di sicurezza più avanzato rispetto alle semplici scansioni di vulnerabilità.
- Risposta agli incidenti: l’MDR include non solo la capacità di individuare e indirizzare la risposta ma sempre più spesso anche quella di rispondere rapidamente agli incidenti di sicurezza, limitando i danni attraverso azioni come l'isolamento delle macchine compromesse e la mitigazione delle minacce stesse. Questa capacità di risposta rapida, con un team dedicato che sorveglia i sistemi 24/7, è essenziale soprattutto in contesti come attacchi ransomware, dove il tempo è un fattore critico. Ridurre il tempo tra il rilevamento e la risposta è fondamentale per minimizzare i danni.
- Threat intelligence: sempre più spesso vediamo utilizzare da parte dei criminali tecniche avanzate, come ad esempio malware polimorfici, attacchi fileless e phishing altamente mirati. I provider MDR integrano continuamente informazioni sulle nuove minacce globali, garantendo che i sistemi siano aggiornati e pronti a fronteggiare le minacce emergenti e riducendo notevolmente il rischio di attacchi imprevisti.
- Visibilità e reportistica continua: un altro vantaggio dell’MDR è la sua capacità di fornire visibilità e reportistica continua. Le aziende ricevono aggiornamenti regolari e dettagliati su cosa sta succedendo nei loro sistemi, quali minacce sono state rilevate e come sono state affrontate. Questo permette ai responsabili della sicurezza di avere una comprensione più approfondita della postura di sicurezza dell'azienda.
- Costo-efficacia e allocazione delle risorse: mi capita molto spesso di incontrare aziende, di ogni dimensione e fatturato, che non hanno le risorse necessarie per mantenere un team interno di esperto e aggiornato in sicurezza informatica. Altrettanto spesso mi capita di incontrare aziende che non eseguono regolarmente nemmeno le attività di vulnerability assessment o penetration test. Un servizio MDR, essendo per sua natura un servizio esternalizzato (tecnologie e SOC del vendor) è la soluzione che garantisce il miglior rapporto costo-efficacia, poiché fornisce accesso a un team di esperti di sicurezza a una frazione del costo che comporterebbe costruire e mantenere un team interno a maggior ragione se lo si valuta per protezioni 24/7/365.
Un tipico servizio MDR è una combinazione di tecnologie e servizio che si adatta sia all’infrastruttura del cliente che alle esigenze dell’azienda unendo una combinazione di strumenti di monitoraggio e rilevamento automatizzati insieme a esperti umani di cyber security che analizzano gli avvisi, comprendono gli attacchi e rispondono agli incidenti.
Questo approccio permette a tutte le aziende di contribuire in base al proprio livello di maturità e disponibilità che va dall’essere una parte fondamentale coinvolta nella catena del soccorso fino al poter demandare al 100% la risposta ad ogni forma di attacco ai loro sistemi.
L’approccio reattivo e proattivo della sicurezza informatica
Non ci resta a questo punto comprendere che per scegliere un framework di sicurezza informatica, è importante considerare se l'approccio adottato vogliamo che sia reattivo o proattivo.
Mi sembra ormai evidente che l’MDR rappresenta un approccio proattivo, mentre l’approccio attraverso il vunerability assessment o penetration test principalmente reattivo.
Provo a spiegarmi.
- Reattivo: un approccio reattivo alla sicurezza si basa sull'identificazione delle vulnerabilità esistenti e la loro correzione. Questo è ciò che fanno sia il vulnerability assessment che il penetration test: cercano di identificare i problemi attuali che potrebbero essere sfruttati da un attaccante e li correggono prima che vengano effettivamente utilizzati in un attacco.
- Proattivo: un approccio proattivo, invece, si concentra sulla continua sorveglianza e difesa, cercando attivamente di rilevare le minacce in tempo reale, mentre si verificano. Questo è il tipo di protezione offerto da un servizio MDR, che monitora costantemente i sistemi, cerca comportamenti anomali e risponde agli incidenti, spesso prima ancora che il danno possa essere fatto.
Dotarsi di una buona tecnologia è solo una parte del percorso per proteggersi dal cyber crime. Adottare un approccio proattivo e un servizio con un team in outsourcing è la chiave di una sicurezza informatica gestita.
A tal proposito, ne approfitto per fare un piccolo affondo alla Cyber Security Suite di Cyberoo: un servizio di cybersecurity evoluto, combinazione di tecnologia e competenze.
La Suite è composta da un servizio di MDR (Managed Detection & Response) che include evoluti meccanismi di Threat Intelligence gestiti da un i-SOC attivo 24/7 che si occupa del monitoraggio, analisi e risposta dei sistemi aziendali. In caso di minaccia rilevata il team entra immediatamente in azione per risolvere il problema nel minor tempo possibile.
Una scelta moderna, innovativa e soprattutto più efficace, rispetto ai diversi assessment, per avviare la costruzione di un approccio solido alla sicurezza informatica in ambito aziendale.
Di Luca Bonora - CYBEROO Evangelist
