La forte spinta allo sviluppo e al progresso digitale degli ultimi anni, così come la pandemia di COVID-19 che ha accelerato l’era di modelli di lavoro remoto-ibrido, hanno fatto sì che anche gli attacchi ai sistemi di sicurezza diventassero sempre più complessi. E sembra che non ci sia mai fine ai termini e alle sigle che occorre memorizzare quando si lavora nel campo della Cybersecurity. Sono lontani i tempi in cui si citavano termini come Breach o Zero-Day poiché fanno talmente parte del nostro quotidiano che tutti noi ne abbiamo assimilato significato e conseguenze.
Al giorno d’oggi, in qualsiasi azienda piccola, media o grande, con la sola soluzione di Endpoint Protection si è all’oscuro di quanto accade all’interno della rete prima che un attacco venga sferrato. Perciò, di fronte alla professionalizzazione dei criminali informatici e del loro modus operandi, le organizzazioni stanno dando sempre più priorità al rilevamento delle minacce e alle capacità di risposta, il cosiddetto “Detect & Respond”.
Tuttavia per gli amministratori o IT Manager la presenza di eventi multipli e numerosi con comportamenti difficili da interpretare e correlare per mancanza di visibilità, limita la reattività e si traduce in un livello di protezione non adeguato.
SU COSA OCCORRE CONCENTRARSI OGGI?
Prima di scoprire cosa ci riserva il presente e futuro, partiamo dalle basi.
EPP (Endpoint Protection):
L’Antivirus, progettato per essere installato su singoli dispositivi come computer, tablet e telefoni, è un programma informatico che ha lo scopo di rilevare e rimuovere software malevoli. Il termine “antivirus” nel corso degli anni si è diffuso notevolmente fino a diventare nell’immaginario collettivo l’unica difesa contro gli attacchi informatici. Il principio si basa sulla ricerca delle firme, quindi è essenziale che la firma di un virus specifico sia stata generata in precedenza per essere neutralizzata. Si tratta di un componente fondamentale ma non sufficiente. La minaccia potrebbe riuscire ad eludere la protezione “tradizionale” di un Endpoint Protection, e così non si sarà in grado di rilevarla senza strumenti aggiuntivi.
EDR (Endpoint Detection & Response):
L’EDR, lo strumento aggiuntivo all’EPP, consente alle aziende di monitorare gli endpoint per rilevare comportamenti sospetti e registrare ogni singola attività ed evento. Le informazioni vengono quindi correlate per fornire il contesto critico necessario al rilevamento delle minacce avanzate e, infine, vengono eseguite attività di risposta automatiche, come l’isolamento di un endpoint infetto dalla rete quasi in tempo reale.
XDR (Extended Detection & Response):
L’XDR è l’evoluzione di EDR che acquisisce e mette in relazione informazioni sulle attività che non provengono solo dagli endpoint (ciò che fa l’EDR), ma anche con una portata più ampia, come ad esempio su reti, firewall, server, carichi di lavoro cloud, SIEM e altro ancora.
Offre quindi una vista migliorata e unificata di più strumenti e vettori di attacco, che fornisce il contesto delle minacce per supportare le attività di triage, indagine e correzione rapida, permettendo al reparto IT di rispondere rapidamente prima che le minacce si espandano.
MDR (Managed Detection & Response):
Questo modello sfrutta team esterni che lavorano da un Security Operations Center (SOC), quindi esternalizza il monitoraggio della sicurezza. Ma il servizio include anche il rilevamento e la risposta agli incidenti, nonché il threat hunting proattivo. Qualunque sia lo strumento e la tecnologia, occorre tenere presente che il ruolo dell’analista rimane centrale e che nessuna soluzione è in grado di proteggere da sola una risorsa sensibile. Il fattore umano conta!
Appurato che la sola soluzione di EPP non è più sufficiente, la scelta potrebbe ricadere sull’MDR o dell’XDR (o di una combinazione di entrambi). Tutto dipende dalla necessità di avere un team di sicurezza o di migliorare l’efficienza del team esistente al proprio interno. Se non ritieni di aver bisogno di un team di sicurezza esternalizzato e desideri una cybersecurity avanzata, l’XDR potrebbe essere la scelta migliore per la tua organizzazione. Potresti, però, facilmente affidare la gestione del tuo ambiente ad un fornitore MDR che utilizza XDR. Questo perché potresti non avere le capacità, competenze e tempistiche per fronteggiare un attacco informatico. Il monitoraggio e gli avvisi automatici, l’apprendimento automatico e l’elevata visibilità di queste soluzioni contribuiranno al rilevamento precoce delle minacce, consentendo agli analisti di reagire a minacce e attacchi prima che diventino un ostacolo.
Concludendo, dunque, la scelta deve tenere conto di diversi fattori:
- Capacità di rilevamento e risposta alle minacce in tempo reale: Sia l’MDR che l’XDR offrono questa possibilità, ma occorre valutare se il tuo team è in grado di rispondere agli avvisi o meno. In caso contrario, una soluzione MDR potrebbe essere più adatta alla tua organizzazione. In ogni caso, il rilevamento delle minacce in tempo reale e il monitoraggio continuo sono strumenti utili e importanti per una forte sicurezza.
- Strategia generale di cybersecurity: Le funzionalità di ricerca delle minacce, di allerta e di risposta sono tutte essenziali per la tua strategia complessiva di cybersecurity. Per stabilire se l’MDR o l’XDR sono più adatti alle tue esigenze, considera il modo in cui le tue risorse sono attualmente utilizzate e se hai bisogno di più tempo o di un contributo di esperti.
- Vincoli di budget: Assicurati di valutare il costo dell’assunzione di esperti di sicurezza internamente rispetto al costo delle soluzioni gestite. E se non hai allocato budget, pensaci per il futuro prossimo.
ESET
Sono pochi i vendor di Security che investono in centri di competenza con sede in Italia per via degli elevati costi del personale. Così i vendor decidono di aprire SOC all’estero. Ma non è il caso di ESET, leader europeo globale nel mercato della cybersecurity da oltre 35 anni e azienda per la quale lavoro, dove il nostro intento è quello di proporre una serie di servizi full time erogati dall’Italia e in lingua italiana da un team di monitoraggio e remediation di livello 1 e 2, formato dai migliori esperti nel settore del security monitoring services. Siamo pronti a fornire tutto il supporto necessario a qualsiasi tipo di azienda, H24 sette giorni su sette, per rispondere tempestivamente a eventuali incidenti e a ripristinare i sistemi aziendali per garantire la continuità operativa.
Andrea
