I servizi di rilevamento e risposta gestiti (MDR) sono una raccolta di tecnologie di sicurezza informatica basate su rete, host ed endpoint che un provider di terze parti gestisce per un'organizzazione cliente. Il provider in genere installa la tecnologia in sede presso l'organizzazione cliente e fornisce servizi esterni e automatizzati aggiuntivi tramite il software.
Gli MDR migliorano la sicurezza informatica ricercando le minacce e rispondendo ad esse una volta rilevate. Consentono inoltre agli utenti di connettersi con gli esperti di sicurezza del provider, che possono aiutare a rafforzare le capacità di sicurezza del reparto IT dell'azienda cliente. Ciò li rende ideali per le aziende che non dispongono di un team interno di rilevamento delle minacce designato.
I servizi di rilevamento e risposta gestiti stanno crescendo in popolarità, in parte a causa del crescente divario di competenze nella sicurezza informatica. Gartner ha previsto nel 2018 che il 15% delle aziende di medie e grandi dimensioni avrebbe utilizzato i servizi MDR nel 2020, rispetto all'1% che li ha utilizzati nel 2018.
Quali problemi risolve MDR?
I servizi MDR svolgono un ruolo attivo nel miglioramento della strategia di sicurezza delle informazioni di un'azienda. Gestiscono il rilevamento delle minacce, la risposta agli incidenti, il monitoraggio e l'analisi continui delle risorse IT.
I servizi MDR affrontano queste attività in un modo che mitiga i problemi comuni che i reparti IT moderni di solito devono affrontare, come ad esempio:
- Volume di avvisi elevato: gli MDR possono aiutare le aziende a gestire l'enorme volume di avvisi di sicurezza informatica che devono essere controllati su base individuale. Troppi avvisi possono sovraccaricare i team di sicurezza più piccoli e indurli a trascurare altre responsabilità.
- Analisi delle minacce: molti avvisi non si presentano immediatamente come una minaccia e richiedono un'analisi approfondita per determinarne lo stato. I servizi MDR forniscono strumenti di analisi avanzati e accesso ad esperti di sicurezza per aiutare con questo, interpretando gli eventi e fornendo consigli per il miglioramento.
- Carenza di competenze - La CIA ha recentemente stimato che entro il 2022 ci sarà un divario della forza lavoro di sicurezza di 1.8 milioni. Symantec ha anche scoperto che quattro professionisti della sicurezza su cinque intervistati riferiscono di sentirsi esausti e in uno stato di sovraccarico cronico. I servizi MDR possono mitigare questo problema fornendo l'accesso al loro team di esperti, che di solito lavorano 24 ore su 7, XNUMX giorni su XNUMX per monitorare una rete ed essere disponibili per la consultazione.
- Rilevamento e risposta degli endpoint (EDR): le aziende potrebbero non disporre dei fondi, del tempo o delle competenze per formare i dipendenti per gli strumenti EDR. I servizi MDR sono dotati di strumenti EDR e li integrano nei processi di rilevamento, analisi e risposta, eliminando la necessità di un'estesa sicurezza interna degli endpoint.
Come con molti modelli X-as-a-service (XaaS) che esternalizzano i processi IT moderni, le aziende scambiano un po 'di controllo per una maggiore convenienza e prezzi più flessibili. I servizi MDR presentano alcuni svantaggi rispetto ai prodotti di sicurezza gestiti meno recenti e a seconda dell'uso previsto per i servizi da parte del cliente. Tuttavia, il loro principale vantaggio è che sono adattati in modo univoco ai problemi attuali ed emergenti affrontati dalle aziende IT oggi.
MDR vs. sicurezza gestita classica
Sia i prodotti MDR che i prodotti di sicurezza gestiti classici svolgono la stessa funzione generale; assistere esternamente le aziende nella cybersecurity. Tuttavia, esistono alcune differenze fondamentali tra i servizi MDR e i servizi di sicurezza gestiti classici, tra cui:
- Conformità: i classici servizi di sicurezza gestita, a volte chiamati fornitori di servizi di sicurezza gestiti (MSSP), si concentrano in genere molto di più sul reporting di conformità e aiutano le aziende a soddisfare i requisiti di conformità. I servizi MDR raramente si concentrano su questo.
- Formato registro: gli MSSP sono generalmente in grado di lavorare con una più ampia varietà di registri di eventi e contesti. Gli MDR, d'altra parte, usano principalmente solo i log forniti con i loro strumenti.
- Interazione umana: gli MSSP gestiscono qualsiasi comunicazione con il provider tramite portali online ed e-mail. Gli MDR hanno team di esperti, a volte indicati come Security Operations Center (SOC), che possono essere raggiunti attraverso più canali in tempo reale.
- Metodi di rilevamento: a causa della componente umana offerta dagli MDR, possono applicare un'analisi più approfondita agli avvisi e rilevare nuove minacce. Gli MSSP sono meno coinvolti nell'analisi e quindi si concentrano maggiormente sulle minacce note e che si verificano di frequente utilizzando un sistema basato su regole.
- Visibilità della rete: gli MDR possono rilevare eventi e movimenti all'interno di una rete client, mentre gli MSSP si concentrano principalmente sul perimetro.
Ogni opzione ha i suoi punti di forza e di debolezza. Gli MSSP sono utili per la gestione della tecnologia di sicurezza di base come i firewall e per l'esecuzione di attività di sicurezza quotidiane. Gli MDR sono servizi più specializzati progettati per gestire reti moderne complesse e le nuove vulnerabilità che presentano.
Le aziende possono utilizzare entrambi i prodotti in tandem per massimizzare i vantaggi di ciascuno.
Funzionalità comuni nelle offerte MDR
Gli MDR sono relativamente nuovi e quindi ogni azienda differisce in qualche modo per ciò che fornisce nelle proprie offerte MDR. I provider si concentreranno in genere su tecnologie basate su rete, endpoint o log. Un MDR basato sulla rete si concentrerebbe sulle minacce in un firewall, mentre un prodotto basato su endpoint funzionerebbe con il software antimalware.
Indipendentemente dal livello di rete a cui funziona il servizio, unisce i report di più tecnologie a quel livello per eseguire queste funzioni:
- Rilevamento delle minacce, in cui il SOC monitora continuamente i dati e assegna priorità agli avvisi per l'analisi.
- Analisi delle minacce, in cui il personale SOC si concentra sulle potenziali minacce e determina l'origine e la portata della minaccia.
- Risposta alle minacce, in cui il provider notifica al cliente un incidente e offre i propri consigli di analisi per risolvere il problema.
Il passaggio con la maggiore variazione tra i fornitori è il passaggio di risposta. Ogni fornitore decide il punto in cui termina il proprio lavoro e il cliente si assume la questione. Alcuni provider potrebbero anche offrire funzionalità aggiuntive a un prezzo, come la consulenza di esperti locali o hardware locale aggiuntivo.
Quando si sceglie un fornitore, i clienti dovrebbero considerare:
- La dimensione della loro organizzazione.
- Il livello di abilità e le dimensioni dei team di sicurezza.
- La tecnologia che hanno già.
- Le normative di conformità a cui devono attenersi.