La domanda per gli MDR sta crescendo rapidamente. Questo aumento è guidato da diversi fattori, tra cui minacce sempre più intense e una carenza globale di talenti nella sicurezza informatica.
Ecco perché ha senso oggi, piu che mai, esternalizzare il rilevamento e la risposta alle minacce a un fornitore terzo con le competenze giuste, gli strumenti adeguati e la capacità di offrire una copertura 24 ore su 24, 7 giorni su 7.
Purtroppo, poiché il mercato MDR è proiettato per esplodere da meno di 5 miliardi di dollari nel 2021 a quasi 22 miliardi di dollari entro il 2030, non mancano provider che fanno molto rumore sulle loro offerte.
Ecco alcuni dei nostri consigli.
MDR: perché l'approccio XDR è fondamentale per affrontare le minacce attuali
C'è la convinzione che la tecnologia sottostante su cui viene fornito l'MDR non sia importante, purché le minacce vengano rilevate e vengano adottate adeguate azioni di risposta. Noi di Ngsecurity non siamo d'accordo. Alcuni fornitori di MDR basano ancora i propri servizi sulla rilevazione e risposta degli endpoint (EDR). Altri affermano di utilizzare la rilevazione e risposta estesa (XDR) —anche se la loro piattaforma tecnologica potrebbe essere meglio descritta come "EDR plus".
Ma né l'EDR né l'"EDR plus" sono sufficienti per sostenere una soluzione MDR di successo. Collettivamente, siamo diventati così bravi nella sicurezza degli endpoint, che gli hackers ora evitano gli exploit focalizzati sugli endpoint. Infatti, da studi recenti emerge che circa il 60% degli attacchi odierni è avvenuto al di fuori degli endpoint —il che significa che la telemetria EDR viene bypassate completamente.
Il vero MDR richiede più della semplice rilevazione degli endpoint con l'aggiunta di poche altre fonti di dati. Ha bisogno di una vera base XDR. La capacità di XDR di rilevare le "briciole di pane" degli intrusi ovunque compaiano, è centrale per la proposta di valore di qualsiasi fornitore di MDR. Ciò significa che unificare tutti i dati rilevanti per la sicurezza provenienti da tutto l'ambiente è fondamentale. Questo include gli endpoint, il cloud, le reti, i servizi di directory, gli IDS e altro ancora. Inoltre, il vero XDR applica analisi a quei dati per rilevare rapidamente attività maligne. Può aiutarti a identificare con precisione la natura esatta dell'attività maligna in modo che tu possa agire in modo deciso per neutralizzarla, mentre lavori aggressivamente per ridurre al minimo il tempo sprecato nel perseguire avvisi insignificanti. Il vero XDR è essenziale per l'MDR.
La Verità riguardo la threath intelligence nel MDR: La Chiave per un'Effettiva Protezione
Un altro mito è che tutti i fornitori di MDR abbiano accesso alla stessa Thtreath Intelligence, e che quindi la loro efficacia dipenda solo da quanto "intelligenti" siano le loro analisi e l'intelligenza artificiale (AI).
Questo non è vero. Sebbene una buona parte della threath intelligence sia open source, l'efficacia di qualsiasi soluzione MDR dipende fortemente da diversi aspetti proprietari dell'intelligenza sulle minacce, tra cui:
- • Quanto è aggiornata: Non vuoi mai arrivare tardi alla festa dell'intelligenza sulle minacce, quindi è importante lavorare con un provider di MDR che non sia mai l'ultimo a sapere .
- • Quanto è dettagliata: una cosa è avere conoscenze generali su di un nuovo exploit, un'altra è avere conoscenze dirette sugli indicatori comportamentali specifici di ciascuna componente di quell'exploit, specialmente se vuoi rilevarlo e identificarlo rapidamente.
- • Quanto velocemente ed efficacemente viene convertita in rivelatori attivi: Il processo con cui il tuo fornitore di MDR traduce nuove informazioni sulle minacce in nuove analisi di rilevamento è cruciale. Ecco perché vuoi assicurarti che il tuo fornitore di MDR stia utilizzando una vera piattaforma XDR che sfrutti continuamente ed attivamente un'intelligenza sulle minacce veramente di classe mondiale, sia propria che da altre fonti.
Stretto contatto e Collaborazione Efficace con il Fornitore di MDR
Quando ti rivolgi a un fornitore di MDR, vuoi più di qualcuno che operi la tecnologia per te. Hai bisogno di un vero partner che lavori a stretto contatto con te per garantire che la tua organizzazione raggiunga la massima difesa cibernetica contro tutte le minacce. Oltre a valutare la loro piattaforma tecnologica e l'intelligence sulle minacce, cerca un fornitore di MDR che possa offrire:
- • Accesso all'esperienza in materia di sicurezza informatica in pochi minuti tramite chat o telefono
- • Supporto di caccia alle minacce di emergenza su richiesta
- • Servizi aggiuntivi secondo necessità (risposta agli incidenti, test avversari, esercitazioni di risposta simulata, ecc.) Idealmente, qualsiasi fornitore di MDR nella tua lista ristretta dovrebbe essere in grado di fornire riferimenti dei clienti che possano condividere la loro esperienza con i livelli di servizio di quel fornitore e le capacità complementari di sicurezza informatica.
L'Importanza di un Provider che Comprenda le Specificità Settore
In teoria, le migliori pratiche di sicurezza informatica sono ampiamente applicabili a tutti i tipi di organizzazioni. Nella pratica, però, la sicurezza informatica è altamente verticalizzata. Ci sono due ragioni principali per questo:
- • Dal punto di vista esterno: Gli attori delle minacce tendono a mirare a organizzazioni in settori verticali specifici con tipi specifici di attacchi. Questo è in parte perché il loro successo nel violare una vittima in quel mercato li incoraggia a tentare attacchi su organizzazioni simili. È anche perché l'obiettivo dei loro attacchi tende ad allinearsi con il tipo di organizzazioni che hanno preso di mira: blocco dei dati dei pazienti con ransomware nei bersagli sanitari, esfiltrazione dei numeri di carta di credito nei rivenditori, ecc.
- • Dal punto di vista interno: Le organizzazioni nello stesso mercato verticale tendono ad avere ambienti digitali simili. I produttori hanno infrastrutture OT che sono molto diverse dalle tradizionali IT aziendali. I servizi finanziari e gli studi legali hanno un alto volume di scambio di documenti confidenziali con la clientela esterna. I campus universitari hanno un volume eccezionalmente alto di account Wi-Fi per ospiti. È meglio lavorare con un fornitore di MDR che comprenda le considerazioni operative uniche e le minacce particolari affrontate da organizzazioni come la tua.
NGsecurity: La Scelta Giusta per un MDR che Offre Valore Aggiunto e Trasparenza
Il valore dell'MDR non riguarda solo ciò che ottieni, ma anche quanto paghi per ciò che ottieni. Date le attuali restrizioni di bilancio, è importante avere una comprensione molto chiara di quanto stai pagando e di cosa ottieni con quei soldi.
Parte di questa comprensione comporta conoscere esattamente cosa è incluso nel prezzo che ti viene quotato. Ad esempio, il prezzo citato da un fornitore di MDR potrebbe includere solo 90 giorni di conservazione dei dati. Tale conservazione potrebbe non essere sufficiente se subisci un'esfiltrazione lenta e costante. Potrebbe anche valere la pena esaminare quanto bene un fornitore può rispondere rispetto alla semplice rilevazione. Dopotutto, un fornitore non soddisferà le tue esigenze o aspettative se è bravo solo a rilevare i problemi, ma non altrettanto bravo nell'aiutare a rispondere o fornire soluzioni di rimedio.
Un altro fattore da considerare nella valutazione dei prezzi: quei temuti costi variabili. Ad esempio, se il tuo fornitore di MDR sta utilizzando un SIEM, probabilmente ti addebiterà per il volume totale dei dati di sicurezza informatica.
Il risultato: costi imprevedibili che ti penalizzano con una "tassa sui dati" sia per la tua diligenza che per la crescita dell'attività aziendale.
Il punto fondamentale: l'MDR è ben lontano da essere un servizio standardizzato. Assicurati di trovare un vero partner di sicurezza informatica che utilizzi una vera piattaforma XDR guidata da un'intelligenza sulle minacce veramente eccezionale.
