Dal Rilevamento e Risposta Gestiti (MDR) ai Fornitori di Servizi di Sicurezza Gestita (MSSP) alla Gestione delle Informazioni e degli Eventi di Sicurezza (SIEM), decidere la soluzione di rilevamento delle minacce giusta per la tua azienda non è facile. In questo articolo, miriamo a chiarire il gergo delineando come queste soluzioni si confrontano, le sfide potenziali e il loro impatto sulla postura di sicurezza delle aziende.
Cosa è il SIEM?
Il SIEM è una tecnologia di rilevamento delle minacce che combina la monitoraggio degli eventi, la correlazione e le capacità di notifica della gestione degli eventi di sicurezza (SEM) con le funzioni di analisi, conservazione e reporting della gestione delle informazioni di sicurezza (SIM). È composta da strumenti integrati di gestione e monitoraggio dei log che possono aiutare la tua azienda a rilevare attacchi mirati e violazioni dei dati. Il SIEM aiuta a potenziare la tua sicurezza aggregando e analizzando dati di log da dispositivi, infrastrutture, sistemi e applicazioni e generando allarmi per il tuo team di sicurezza da esaminare e rispondere.
Le soluzioni SIEM consentono alla tua azienda di migliorare la visibilità delle minacce alla sicurezza informatica all’interno della tua rete. Possono anche aiutare la tua azienda a raggiungere le capacità di monitoraggio della sicurezza informatica necessarie per supportare la conformità al GDPR, alla Direttiva NIS e al PCI DSS, così come ad altre normative e standard sui dati.
Per facilitare la correlazione degli eventi e la segnalazione, gli strumenti SIEM raccolgono log da una vasta gamma di fonti di dati all’interno della tua azienda. Le fonti includono tipicamente dispositivi di rete, infrastrutture, sistemi, applicazioni e tecnologie di sicurezza come firewall, piattaforme di protezione endpoint e sistemi di rilevamento e prevenzione delle intrusioni.
Il SIEM stesso è un prodotto piuttosto che un servizio, fornendo visibilità degli ambienti per supportare la rilevazione e la risposta alle minacce. Tuttavia, il SIEM gestito spesso costituisce un elemento cruciale dei servizi MSSP, e la telemetria della SIEM può anche svolgere un ruolo importante nel fornire MDR.
Le Sfide del SIEM
Un problema comune con il SIEM è che le aziende spesso trovano difficile gestirla efficacemente senza un ampio team di esperti di sicurezza per implementare, gestire e monitorare la soluzione scelta, nonché analizzare e rispondere all’alto volume di allarmi che probabilmente genererà. La stanchezza da allarme è un problema frequente per i team di sicurezza incaricati di gestire un grande volume di falsi positivi, portando spesso a non considerare o trascurare allarmi importanti. Anche quando vengono identificate minacce genuine, sapere come rispondere rapidamente ed efficacemente è una sfida separata. La vasta gamma di strumenti SIEM sul mercato significa che potrebbe essere necessaria anche una formazione e una certificazione specialistica della piattaforma.
Quando si esamina il mercato della sicurezza informatica, probabilmente noterai che il SIEM è spesso incorporato all’interno di piattaforme SOAR e di gestione delle minacce più ampie. Piuttosto che lasciare che il prezzo definisca la tua scelta, guarda quanto efficacemente la tua soluzione SIEM potenziale può integrarsi con le fonti di dati e fornire la qualità della copertura delle minacce e la visibilità per affrontare pienamente i casi di rilevamento delle minacce. Assicurati inoltre di esaminare le opzioni di distribuzione, il supporto per le fonti di intelligence sulle minacce e le capacità di risposta agli incidenti. Oppure, anziché gestire una soluzione SIEM in proprio, potresti voler considerare un servizio SIEM gestito. Questo consente alla tua azienda di beneficiare sia delle ultime tecnologie SIEM sia delle risorse necessarie per gestire e monitorare la soluzione, 24 ore su 24, 7 giorni su 7.
Cosa è un MSSP?
Un MSSP, o Fornitore di Servizi di Sicurezza Gestita, è un’azienda che offre servizi di sicurezza informatica ad altre aziende, tipicamente erogati attraverso un Security Operations Centre (SOC). Come spiega Gartner:
“I MSSP utilizzano centri operativi di sicurezza ad alta disponibilità (sia dalle loro strutture che da altri fornitori di data center) per fornire servizi 24/7 progettati per ridurre il numero di personale operativo per la sicurezza che un’azienda deve assumere, formare e trattenere per mantenere un’adeguata postura di sicurezza.”
Oltre al SIEM, un MSSP potrebbe gestire altri strumenti come firewall gestiti, rilevamento delle intrusioni, reti virtuali private e strumenti di gestione delle vulnerabilità. Gli MSSP offrono una serie di servizi di sicurezza informatica, inclusa la gestione e il monitoraggio delle tecnologie di sicurezza, la rilevazione continua delle minacce, la gestione delle vulnerabilità e la segnalazione degli incidenti. Mentre alcune aziende esternalizzano completamente l’intera funzione di sicurezza informatica a un MSSP, altre esternalizzano solo aspetti specifici. Lavorare con un MSSP può aiutare le aziende a ottenere competenze aggiuntive per consentire loro di affrontare lacune di conoscenza e soddisfare i requisiti di conformità.
Le sfide dell’MDR
Con così tante opzioni sul mercato, una sfida chiave è assicurarsi che la soluzione MDR che scegli offra rilevamento e risposta completi. Un vero servizio MDR dovrebbe offrire un’ampia gamma di raccolta di telemetria, contenimento e interruzione remota, capacità forensi e di risposta. Ciò garantirà che tu sia in grado di comprendere rapidamente la causa radice, eliminare le minacce su tutti i sistemi interessati e assicurarti che non si verifichino nuovamente.
Tieni presente che il MDR richiede un impegno a lungo termine per essere efficace. Tutto questo significa che selezionare la giusta soluzione MDR è vitale per garantire che la tua azienda possa raggiungere il giusto equilibrio tra sicurezza efficace e ritorno sugli investimenti.
MDR vs. MSSP
La storia e l’impatto degli MSSP e del MDR sono strettamente collegati. Le crescenti preoccupazioni riguardo agli MSSP tradizionali sono state un fattore chiave dietro la crescita del MDR. Molti MSSP offrono solo monitoraggio e segnalazione di base, mentre non forniscono il livello di contesto e guida di cui le aziende hanno bisogno per identificare incidenti di sicurezza genuini e rispondere ed eseguire azioni correttive in modo efficace. Con le risorse interne sotto pressione, le aziende che si affidano agli MSSP potrebbero scoprire di non ricevere il supporto di cui hanno bisogno quando ne hanno più bisogno.
Gli MSSP tradizionali sono reattivi piuttosto che proattivi, facendo affidamento su tecniche di rilevamento basate su firme e regole che possono trascurare minacce più avanzate, come malware residenti in memoria e polimorfici. Spesso passano semplicemente allarmi di sicurezza generati da tecnologie di sicurezza gestite “oltre il muro”, fornendo poche informazioni di contesto o indicazioni su come rispondere. Come suggerisce Gartner, con sempre più MSSP che si spostano nel mercato del MDR, è importante esaminare le capacità dei potenziali fornitori per garantire che soddisfino le aspettative:
“L’adozione del termine MDR da parte degli MSSP dovrebbe essere accolta con sana scetticismo dagli acquirenti… Coloro che esplorano gli MSSP per i servizi MDR dovrebbero valutare le tecnologie supportate dagli MSSP e la disponibilità delle competenze di ricerca delle minacce”.
