Cos'è il Managed Detection and Response (MDR)?

L'efficacia del Managed Detection and Response (MDR) si basa su diversi componenti chiave, ognuno dei quali svolge un ruolo fondamentale nel framework complessivo di sicurezza:

· Stack tecnologico di proprietà del fornitore: il cuore dei servizi MDR è uno stack tecnologico gestito e operato dal fornitore. Questo stack è personalizzato per il monitoraggio, il rilevamento e la mitigazione attiva delle minacce in tempo reale. Include strumenti come EDR, essenziali per la raccolta e l'analisi dei dati di telemetria di sicurezza da varie fonti, tra cui reti, endpoint e servizi cloud.

· Personale esperto: una componente fondamentale dei servizi MDR è l'esperienza umana che hanno alle spalle. Il personale esperto nel monitoraggio, nel rilevamento e nella caccia alle minacce, oltre che di intelligence sulle minacce e di risposta agli incidenti, si dedica ogni giorno ai dati dei clienti. Si assicurano che ogni aspetto del panorama delle minacce venga costantemente monitorato e affrontato.

· Processi predefiniti e contenuti di rilevamento: i servizi MDR si basano su contenuti di rilevamento specializzati, un termine che comprende un ampio insieme di strumenti e di metodi utilizzati per l'identificazione delle minacce. Dalle regole e dai certificati che prendono di mira il malware noto, al rilevamento delle anomalie, fino ai modelli comportamentali che potrebbero indicare una violazione della sicurezza e agli algoritmi di intelligenza artificiale e di machine learning, i contenuti di rilevamento vengono continuamente aggiornati per mantenerli al passo con le minacce informatiche in costante evoluzione. 

· Capacità di risposta da remoto: oltre alla semplice segnalazione e notifica, i servizi MDR offrono attività di mitigazione, indagine e contenimento a distanza. Le organizzazioni possono così rispondere in modo rapido ed efficace alle minacce, anche quando non hanno a disposizione competenze interne. Questo include il ripristino dei sistemi allo stato precedente all'attacco e la garanzia di una risoluzione completa di ogni incidente. 

· Prioritizzazione e caccia alle minacce: i servizi MDR distinguono gli eventi innocui dalle minacce reali attraverso un'assegnazione gestita delle priorità. I cacciatori di minacce umani cercano in modo proattivo gli indicatori di attacco, in modo da identificare e affrontare anche le minacce più elusive.

Managed Detection and Response (MDR) è un termine generico, da cui sono emerse delle varianti che aiutano le organizzazioni a scegliere una soluzione in linea con le loro esigenze specifiche di cybersecurity. Ecco i tipi più comuni di questi servizi di sicurezza informatica, suddivisi in base al loro ambito principale di impiego:

· Managed Endpoint Detection and Response (MEDR) restringe l'attenzione dell'MDR agli endpoint (dispositivi come laptop, desktop e telefoni cellulari). Utilizza strumenti specializzati per la protezione degli endpoint, offrendo una difesa mirata contro minacce come malware e ransomware.

· Managed Network Detection and Response (MNDR) si concentra sulla sicurezza della rete, proteggendo elementi come router, switch e firewall. È progettato appositamente per monitorare il traffico di rete e difendersi dalle minacce specifiche dell'infrastruttura di rete.

· Managed Extended Detection and Response (MXDR) estende le funzionalità a endpoint, reti, servizi cloud e potenzialmente a dispositivi IoT. Si tratta essenzialmente di una versione onnicomprensiva dell'MDR, che integra vari aspetti della sicurezza in un servizio unitario. È importante notare che l'MXDR non è un'entità diversa dell'MDR, quanto piuttosto una sua estensione. Mentre il MEDR e l'MNDR forniscono una sicurezza mirata in aree specifiche, l'MXDR riunisce questi elementi, offrendo un approccio più integrato ed esteso all'MDR.

Per le organizzazioni che stanno valutando di adottare servizi MDR, la scelta tra MEDR, MNDR e MXDR sarà meno netta, poiché dipenderà dalle loro specifiche esigenze di sicurezza, dall'infrastruttura esistente e dalla copertura desiderata.

La maggior parte delle organizzazioni oggi deve affrontare sfide di cybersecurity che vanno ben oltre il modo in cui implementano le tecnologie di sicurezza. Le esigenze dei team di sicurezza non riguardano solo la gestione delle minacce, ma anche l'uso efficiente delle risorse, con la possibilità di mantenere la continuità operativa. I servizi MDR sono nati come una soluzione olistica a una serie di sfide diverse, come ad esempio:

· Alert fatigue: ovvero l'affaticamento dovuto ai troppi allarmi. Le organizzazioni di solito utilizzano vari strumenti di sicurezza che generano numerosi avvisi e molti falsi positivi. Ciò può portare a un elevato volume di notifiche, che sovraccarica i team di sicurezza. I servizi MDR filtrano i falsi positivi ed evidenziano le minacce reali, riducendo la probabilità di mancare gli incidenti critici

· Complessità degli strumenti: le tecnologie avanzate di sicurezza spesso comportano una curva di apprendimento molto ripida, oltre a essere molto complesse da distribuire e gestire. I servizi gestiti di rilevamento e risposta sono una soluzione più accessibile e facile da usare per le organizzazioni, che possono così migliorare rapidamente la propria postura di sicurezza complessiva senza doversi affidare a competenze interne specialistiche.

· Competenze e risorse limitate: molte organizzazioni, soprattutto quelle più piccole, non dispongono delle risorse e delle competenze specialistiche necessarie a garantire l'efficacia della cybersecurity. L'MDR assicura loro un grado di competenza in materia di sicurezza altrimenti irraggiungibile, fornendo analisi da parte di esperti e azioni di risposta personalizzate.

· Problemi di conformità e privacy: le normative sulla conformità e gli standard sulla privacy cambiano continuamente, e le organizzazioni rischiano di incorrere in rischi legali e danni alla reputazione se non riescono a mantenere l'integrità e la riservatezza dei propri dati. L'MDR è spesso la soluzione più praticabile per garantire che un'organizzazione soddisfi pienamente questo tipo di requisiti.

· Monitoraggio costante: le minacce informatiche possono verificarsi in qualsiasi momento, ma per molte organizzazioni non è possibile gestire e impiegare internamente un team di sicurezza al lavoro 24/7. Un soluzione MDR risponde a questa specifica esigenza, offrendo un servizio continuo di monitoraggio e risposta.

· Minacce avanzate: il settore della cybersecurity si trova ad affrontare minacce in rapida evoluzione come le APT, gli exploit zero-day, i ransomware e schemi di phishing sofisticati. I servizi MDR aggiornano continuamente i propri dati di intelligence sulle minacce e, soprattutto, utilizzano misure proattive come la caccia alle minacce. Questo approccio aiuta le organizzazioni a difendersi in modo preventivo, un grado di vigilanza e di competenza difficile da mantenere con le sole risorse interne.

Per i team di gestione, la decisione di integrare il Manage Detection and Response è dettata dalla capacità di questa soluzione di offrire vantaggi significativi, migliorando sia l'efficacia che l'efficienza degli sforzi di cybersecurity. Ecco i suoi principali vantaggi:

·       Efficienza operativa: l'MDR ottimizza le operazioni di sicurezza, riducendo in modo significativo il carico di lavoro dei team interni. Attraverso l'integrazione di varie funzioni di sicurezza in un sistema coeso, questi servizi semplificano il processo di identificazione, valutazione e mitigazione delle minacce, liberando risorse interne e permettendo loro di concentrarsi su altre attività aziendali critiche.

·       Rilevamento e risposta più rapidi: sfruttando analisi avanzate e processi automatizzati, i servizi MDR possono identificare rapidamente le minacce e dare inizio a una risposta, limitando il potenziale impatto e garantendo la continuità aziendale.

·       Miglioramento della postura di sicurezza: l'MDR non si limita a rispondere alle minacce nel momento in cui si presentano, ma migliora anche la capacità dell'organizzazione di prevedere e prepararsi a potenziali sfide future di cybersecurity.

·       Scalabilità e flessibilità: i servizi MDR sono scalabili e quindi adatti ad aziende di qualsiasi dimensione. Possono adattarsi all'evoluzione delle esigenze di un'organizzazione, ad esempio, quando le attività sono in fase di crescita, vengono adottate nuove tecnologie o durante un'espansione in nuovi mercati. 

·       Rapporto costo-efficacia: l'implementazione dell'MDR può essere una soluzione economicamente vantaggiosa, specialmente per le PMI. Spesso garantisce l'accesso a risorse e competenze di sicurezza di alto livello a una frazione del costo necessario per creare e mantenere un team interno.

·       Accesso a tecnologie e competenze avanzate: un vantaggio collegato al punto precedente. I servizi MDR offrono alle organizzazioni l'accesso a strumenti all'avanguardia e alle competenze di alto livello necessarie per utilizzarli, senza investimenti significativi in tecnologia e formazione.

·       Miglioramento della conformità e della gestione dei rischi: fornendo una guida esperta e assicurando che le misure di sicurezza soddisfino i requisiti legali e di settore, questi servizi riducono il rischio di non conformità e le relative conseguenze finanziarie e di reputazione.

L'MDR si distingue per la sua capacità di migliorare e ampliare le funzionalità di strumenti convenzionali come EDR, XDR, Managed SIEM e MSSP. Vediamo le principali differenze.

MDR vs. EDR (Endpoint Detection and Response)

L'EDR si concentra sul monitoraggio e sull'analisi dei comportamenti sugli endpoint, utilizzando risposte automatiche basate su regole e modelli prestabiliti. Nonostante sia efficace nel registrare le attività sugli endpoint, può diventare complesso e richiedere molte risorse.  L'MDR integra l'EDR introducendo competenze umane nell'analisi e nel processo decisionale, offrendo processi evoluti e un'intelligence più ampia sulle minacce. Questa integrazione permette alle aziende di sfruttare le funzionalità EDR in modo più efficace senza dover gestire soluzioni EDR complesse.

MDR vs. XDR (Extended Detection and Response)

L'XDR estende le funzionalità dell'EDR (vedi sopra) aggregando i dati tra endpoint, reti, cloud e altre fonti per offrire un'analisi più ampia della sicurezza. L'MDR migliora le funzionalità dell'XDR integrando competenze umane nella ricerca proattiva delle minacce, nel monitoraggio continuo 24/7 e nelle risposte strategiche. 

MDR vs. Managed SIEM (Security Information and Event Management)

Managed SIEM aggrega e analizza i dati provenienti da vari dispositivi di sicurezza e fonti della rete. Pur essendo molto potenti, le soluzioni SIEM possono essere complesse e sono necessarie competenze significative per interpretare i dati e agire efficacemente su di essi.  L'MDR risponde a queste sfide offrendo un approccio più snello, che fornisce informazioni approfondite, chiare e attuabili con un minor grado di complessità. Questi servizi sono volti ad assicurare che i dati e gli avvisi vengano interpretati in modo accurato e affrontati tempestivamente.

MDR vs. MSSP (Managed Security Services Providers)

Gli MSSP offrono un ampio ventaglio di servizi di sicurezza, tra cui il monitoraggio e la verifica degli avvisi. Tuttavia, in genere non si occupano di rispondere attivamente alle minacce, lasciando questa responsabilità al cliente. L'MDR va oltre il tradizionale modello degli MSSP, poiché non solo identifica le minacce ma risponde anche attivamente ad esse.

I fornitori di strumenti di cybersecurity offrono diverse funzionalità a diversi livelli di qualità e di prezzo, il che può rendere la scelta della soluzione giusta per la tua organizzazione un compito scoraggiante. Ecco alcune domande generali che dovresti prendere in considerazione quando valuti i fornitori, secondo Gartner e altre organizzazioni attendibili che si occupano di ricerche di mercato:

·       Che esperienza e competenze possiede? Il fornitore deve avere una comprovata esperienza nella fornitura di servizi MDR efficaci e affidabili, a clienti di settori e aree geografiche differenti. Deve inoltre avere una conoscenza ampia e approfondita di varie tecnologie e fonti di telemetria, come endpoint, reti, cloud e applicazioni, per essere in grado di rilevare e rispondere a un'ampia gamma di minacce.

·       Quali sono le sue capacità di risposta? Il fornitore deve essere in grado di intraprendere azioni rapide e decisive per contenere ed eliminare le minacce per conto tuo, o almeno di fornirti meccanismi semplici per approvare o avviare autonomamente le azioni.

·       I servizi del fornitore sono chiari e coerenti? Favorisci i fornitori i cui servizi sono descritti in modo chiaro e coerente, e che si impegnano a comunicare regolarmente e in modo trasparente lo stato e i risultati del servizio, nonché eventuali problemi o sfide che potrebbero sorgere.

·       Esiste un processo di onboarding ben consolidato? Il fornitore deve aver predisposto un ampio ventaglio di procedure di onboarding, che tengano conto dell'infrastruttura e delle caratteristiche della tua azienda. I servizi devono essere personalizzati in base al tuo ambiente e ai tuoi requisiti, e il fornitore deve comprendere il contesto e le priorità della tua organizzazione.

·       Chi sono gli esperti del team? Scegli un fornitore che possa dimostrare di avere un team di esperti informatici qualificati e certificati, perché sono loro che analizzeranno, indagheranno e fermeranno le minacce prima che si trasformino in incidenti. Cerca dei partner MDR che promuovono una cultura di apprendimento continuo, assicurandosi che il loro team sia aggiornato sulle ultime tendenze e sugli sviluppi più recenti del panorama informatico.

Anche se le risposte a tutte le domande precedenti ti soddisfano, puoi chiedere delle referenze dai loro clienti passati o attuali e richiedere una demo o una prova del loro servizio Managed Detection and Reposne (MDR). Inoltre, fai ricerche per conto tuo e confronta i diversi fornitori sulla base di recensioni indipendenti o valutazioni di fonti affidabili, in quanto possono fornirti valutazioni obiettive e imparziali.