Che Cos’È la Managed Detection and Response (MDR)?

Sophos MDR Report Sophos sul Ransomware

Managed Detection and Response (MDR) è un servizio operativo 24/7 e completamente gestito, a cura di esperti specializzati nel rilevamento e nella risposta agli attacchi informatici, che previene incidenti che sarebbero impossibili da fermare con l’uso delle sole tecnologie. Grazie alla combinazione ottimale tra competenze umane di personale specializzato, tecnologie di protezione e modelli avanzati di machine learning, gli analisti del team MDR sono in grado di rilevare, svolgere indagini e neutralizzare gli attacchi coordinati da menti umane, prevenendo così i casi di violazione dei dati e il ransomware.

La richiesta di servizi MDR ha subito una crescita esponenziale e Gartner prevede che entro il 2025 metà delle organizzazioni utilizzerà servizi MDR.

Perché l’MDR È Importante?

Di fatto, le tecnologie non sono in grado di prevenire tutti gli attacchi. I moderni avversari informatici possono contare su risorse finanziarie abbondanti, che permettono loro di utilizzare credenziali rubate, errori di configurazione dei prodotti di sicurezza e strumenti informatici legittimi per eludere le tecnologie di difesa. Inoltre, sfruttano approcci sempre più evoluti e industrializzati.

L’unico modo per rilevare e neutralizzare in maniera efficace i criminali più determinati è ricorrere a un monitoraggio completo e operativo 24/7, svolto da professionisti dell’IT security. Garantire la protezione ininterrotta dei sistemi senza affidarsi a servizi esterni non è semplicemente fattibile per la maggior parte delle organizzazioni. Di conseguenza, le aziende tendono sempre più frequentemente a rivolgersi a fornitori di Managed Detection and Response (MDR), per ricevere l’assistenza di cui hanno bisogno.

Che cosa offrono i servizi MDR?

Ciascun servizio MDR è diverso, tuttavia tipicamente include:

  • Monitoraggio e risposta 24/7 alle minacce, a cura di un team di esperti
  • Threat Hunting guidato dai nostri esperti
  • Contenimento delle minacce: interruzione e prevenzione della diffusione degli attacchi
  • Incident Response a 360 gradi: le minacce vengono eliminate completamente
  • Root Cause Analysis: per prevenire incidenti simili in futuro
  • Controlli di integrità per garantire un profilo di sicurezza ottimale
  • Report settimanali e mensili

Come funzionano i servizi MDR?


Il processo di rilevamento e risposta prevede sei fasi principali:

  1. Raccolta: i dati di telemetria di sicurezza vengono raccolti dall’intero ecosistema informatico, ovvero da soluzioni per endpoint, firewall, rete, cloud, e-mail e gestione delle identità. Quando gli analisti hanno maggiore visibilità, possono agire in maniera più rapida.
  2. Rilevamento delle minacce: le informazioni vengono arricchite con un contesto aziendale e con dati di intelligence sulle minacce, il che permette di ottenere un quadro più completo della situazione. Gli eventi di sicurezza correlati vengono raggruppati in maniera logica, per garantire un processo di indagine più completo ed efficiente.
  3. Threat hunting: analisti altamente qualificati rilevano proattivamente le minacce che riescono a eludere i prodotti di sicurezza. Cercano specificamente le tattiche, tecniche e procedure (TTP) più comunemente sfruttate dai cybercriminali e individuano le minacce che potrebbero riuscire a eludere vari strumenti di protezione.
  4. Indagine: gli analisti determinano l’ambito e la gravità della minaccia, identificando i passi successivi da seguire.
  5. Remediation: gli analisti impediscono all’attacco di diffondersi, rimuovendo allo stesso tempo il malware e isolando i sistemi colpiti.

  6. Neutralizzazione: gli analisti svolgono root cause analysis per eliminare completamente ogni traccia dell’hacker e impedire che si ripeta un incidente simile in futuro.

     

Chi Utilizza i Servizi Managed Detection and Response?

I servizi MDR vengono utilizzati da tutti i tipi di organizzazioni, in qualsiasi settore: da aziende di piccole dimensioni con risorse IT limitate, fino a grandi imprese con un SOC interno. La vera domanda è: come vengono utilizzati i servizi MDR dalle organizzazioni? MDR prevede tre principali modelli di risposta:

  • Il team MDR gestisce ogni aspetto della risposta alle minacce per conto del cliente
  • Il team MDR collabora con il team interno del cliente, con una gestione collaborativa della risposta alle minacce
  • Il team MDR informa il team interno del cliente, fornendo consigli per la correzione del problema

Ogni organizzazione è diversa, pertanto è importante scegliere il modello di risposta MDR più adatto a soddisfarne le esigenze specifiche.

Quali Sono i Principali Tipi di Provider di Servizi MDR?

Esistono tre tipi principali di provider di MDR:

  1. Bring Your Own Technology: questi provider raccolgono informazioni sulla sicurezza da più origini, ma di solito offrono solamente avvisi e non intraprendono alcuna azione; inoltre, presentano limitazioni in termini di profondità e velocità dei dati forniti.
  2. Vendor individuale: la seconda categoria è composta da vendor che offrono servizi MDR per i propri prodotti di sicurezza; in questo scenario, le tecnologie e il servizio MDR sono integrati, ma il cliente deve sostituire l’intera infrastruttura di cybersecurity esistente; inoltre, questa categoria presenta la limitazione di poter svolgere solo le azioni consentite dai propri prodotti.
  3. Completamente flessibile: i provider completamente flessibili uniscono e armonizzano i punti di forza dei due approcci precedenti. Possono utilizzare qualsiasi combinazione tra prodotti di sicurezza già presenti nell’ambiente (rimuovendo il bisogno di sostituirli) e prodotti di sicurezza del vendor (per offrire opzioni di risposta integrate in profondità).

Quali Sono i Vantaggi dell’MDR?

  1. Difese informatiche superiori: uno dei principali vantaggi dell’affidarsi a un fornitore di servizi MDR, rispetto a programmi SecOps che contano solo su risorse interne, è l’elevato livello di protezione dal ransomware e da altre minacce informatiche avanzate. Con MDR puoi avvalerti delle competenze vaste e approfondite degli analisti del tuo vendor. Rispetto a una singola organizzazione, i fornitori di servizi MDR hanno un’esperienza molto più estesa in termini di volume e varietà degli attacchi e per questo motivo offrono competenze molto difficili da riprodurre internamente.
  2. Disponibilità di più risorse IT: il rilevamento e la risposta alle minacce richiedono diverso tempo e sono imprevedibili. La natura urgente del lavoro stesso può impedire a questi team di focalizzarsi su sfide più strategiche e spesso più interessanti. Collaborando con un servizio MDR, puoi liberare più risorse per il tuo team IT, in modo che possa concentrarsi su iniziative dal maggiore impatto commerciale.
  3. Tranquillità di una protezione ininterrotta: il rischio di attacco è sempre imminente. Gli hacker sono più attivi nei momenti in cui c’è maggiore probabilità che il personale tecnico non sia operativo, ad esempio di sera, nel fine settimana e nei giorni festivi. Il rilevamento e la risposta alle minacce sono pertanto attività per cui non è possibile prendere pause: se vengono svolti solo in orario ufficio, l’organizzazione rimane esposta ai rischi. Grazie alla continuità che offrono 24/7, i servizi MDR garantiscono massima tranquillità e sicurezza. Questo per i membri del personale IT significa, letteralmente, poter dormire sonni tranquilli. Possono infatti riconquistarsi il proprio tempo libero, nella consapevolezza che la responsabilità viene assunta dal fornitore del servizio MDR. Per i dirigenti senior e i clienti, la protezione 24/7 a cura di esperti e l’elevato livello di preparazione informatica in qualsiasi momento è garanzia di sicurezza per i propri dati e per l’intera organizzazione.
  4. Aggiunta di competenze, non di personale: il rilevamento e la risposta alle minacce sono attività estremamente complesse. Chi lavora in questo ambito deve avere una serie di competenze tecniche estremamente specializzate. Si tratta di una combinazione più unica che rara di competenze, e il problema viene accentuato da un’evidente carenza di personale specializzato; questi fattori rendono la ricerca di analisti esperti un’impresa ardua, se non del tutto impossibile, per molte organizzazioni. I servizi MDR ti offrono le competenze tecniche di cui hai bisogno, per permettere alla tua organizzazione di ampliare la capacità operativa del tuo team di IT security, senza dover assumere altro personale.
  5. Ottimizzazione del ritorno sull’investimento nella cybersecurity: un team di threat hunting operativo 24/7 è dispendioso da gestire. Per garantire una protezione ininterrotta, occorrono come minimo cinque o sei dipendenti dedicati alla cybersecurity che lavorano a turni alterni. Sfruttando le economie di scala, i servizi MDR offrono un modo pratico ed economico per difendere la tua organizzazione e ottimizzare l’uso del tuo budget di sicurezza.

Inoltre, i servizi MDR elevano il livello di protezione, riducendo così il rischio delle conseguenze finanziarie di un caso di violazione ed evitandoti i costi implicati da un eventuale incidente grave. Considerando che il costo medio di riparazione dei danni di un attacco ransomware per le organizzazioni di medie dimensioni è stato 1,4 milioni di $ nel 2021⁶, investire nella prevenzione è una decisione molto saggia dal punto di vista finanziario.

Scegliendo un vendor con prodotti e servizi in grado di integrarsi con le tecnologie di sicurezza che già usi, puoi incrementare il ritorno sull’investimento delle soluzioni esistenti. Inoltre, i servizi MDR permettono alle organizzazioni di ottenere molti dei controlli informatici che sono fondamentali per migliorare l’assicurabilità e ottenere condizioni più vantaggiose nella propria polizza.

Quali Sono le Differenze tra MDR ed Endpoint Detection and Response (EDR) o Extended Detection and Response (XDR)?

L’MDR non va confuso con l’EDR (Endpoint Detection and Response) e l’XDR (Extended Detection and Response).

Anche se sia MDR che EDR e XDR supportano e offrono opzioni di rilevamento e risposta alle minacce, EDR e XDR sono strumenti che permettono agli analisti di indagare e individuare proattivamente i potenziali tentativi di compromissione dei sistemi; nel caso dell’MDR, sono gli analisti di un vendor di cybersecurity di fiducia a intercettare, svolgere indagini e neutralizzare le minacce per conto tuo.

Come suggerisce il nome stesso, gli strumenti EDR recuperano telemetria da tecnologie di protezione endpoint, mentre gli strumenti XDR estendono le risorse da cui attingono i dati, in modo da includere altri ambiti dello stack informatico (inclusi firewall e soluzioni per e-mail, cloud, rete, gestione delle identità e protezione dei dispositivi mobili). Il risultato è una visibilità e superiore, con indagini più dettagliate e approfondite. Per fornire il servizio MDR, Sophos utilizza le nostre soluzioni leader di settore EDR e XDR.

Quali Sono le Differenze tra MDR e Security Information and Event Management (SIEM)?

  • SIEM è una tecnologia che raccoglie dati dagli strumenti di sicurezza che già usi. Il SIEM procede quindi aggregando e analizzando queste informazioni per individuare anomalie che possono essere associate a minacce.
  • L’MDR è un servizio fornito da esseri umani, che unisce alle analisi di telemetria l’esperienza approfondita e le capacità avanzate di indagine e risposta di esperti.

Quali Sono le Differenze tra MDR e Managed Security Service Provider (MSSP)?

I provider di servizi MDR sono specializzati nel rilevamento e nella risposta alle minacce. Quello che l’MDR non offre sono attività di gestione quotidiana della cybersecurity, come l’implementazione delle tecnologie di sicurezza, l’aggiornamento dei criteri, l’applicazione di patch e l’installazione degli aggiornamenti. Per ricevere supporto in questi ambiti, le organizzazioni si possono rivolgere a dei Managed Service Provider (MSP), che offrono servizi di gestione della sicurezza IT.

Come Scegliere il Giusto Provider di Servizi MDR

Alle organizzazioni che stanno valutano un servizio MDR consigliamo di tenere in considerazione quanto segue:

  • Quale livello di estensione e profondità del servizio offre il provider? Qual è il suo livello di intelligence e competenza sulle minacce?
  • Quali modelli di servizio offre e come si allineano con le tue esigenze?
  • Da quante persone è composto il team che fornirà il servizio?
  • Quanta esperienza ha nel settore in cui opera la tua azienda?
  • Come agisce per garantire copertura 24/7? Può contare su Security Operations Center (SOC) in tutto il mondo?
  • Quali sono i suoi tempi medi di rilevamento e risposta alle minacce?
  • Quale livello di integrazione offre con i prodotti di cybersecurity nei quali hai già investito?
  • Cosa dicono i clienti del servizio?
  • Quali risultati ha ottenuto in test indipendenti?
  • Offre una garanzia contro le violazioni? Se sì, qual è la copertura di cui usufruirebbe la tua organizzazione?

Sophos MDR Garantisce i Migliori Risultati di Sicurezza

Sophos Managed Detection and Response è il servizio MDR leader a livello mondiale. Con Sophos MDR puoi proteggere computer, server, reti, workload nel cloud, account e-mail e molto di più. Per iniziare con Sophos MDR, ti invitiamo a metterti subito in contatto con noi.

Consulta un esperto

Argomento di sicurezza correlato: Che Cos’È la Protezione Endpoint?

Altre Notizie dal Mondo della Cybersecurity