SIEM, EDR, MDR: servizio in-house o gestito?
Il mondo dell'IT e della cyber security diventa sempre più complesso con il passare del tempo. Fin qui niente di nuovo.
Le tradizionali misure di sicurezza preventive - firewall, endpoint protection, controlli di Identity and Access Management (IAM) - non sono più sufficienti da sole per difendersi dalle minacce informatiche. L'approccio logico per risolvere questo problema è stato quello di utilizzare una piattaforma di Security Information and Event Management (SIEM) per combinare tutti gli avvisi e i dati. Ma per le organizzazioni che hanno i mezzi per utilizzare il SIEM, il risultato è stato spesso un diluvio di dati di fedeltà estremamente variabile provenienti da una moltitudine di controlli. Questo ha portato a un ulteriore sviluppo: Endpoint Detection and Response e Managed Detection and Response.
Il problema successivo: tutti sostengono di offrire Endpoint Detection and Response (EDR), Managed Detection and Response (MDR) e Extended Detection and Response (XDR). Sebbene ci siano buone probabilità di trovare in effetti un prodotto, a volte i prodotti stessi sono, a dire il vero, un po' strani. Voi e la vostra organizzazione dovete capire innanzitutto di cosa avete bisogno e, in secondo luogo, quale fornitore dovete prendere in considerazione. È del tutto possibile che un SIEM già in uso vada benissimo, ma è altrettanto possibile che vi siano molte situazioni in cui un SIEM interno, gestito da un Security Operations Center (SOC) interno, richieda una manutenzione costante e prosciughi la capacità del vostro team di difendere effettivamente l'azienda. Al contrario, alcuni dei membri più efficienti del vostro team magari si trovano a gestire i log, e questo non è il modo di mantenerli motivati ed entusiasti.
Vincoli di risorse interne
Forse la prima domanda riguarda il tempo, le persone e gli strumenti: avete bisogno di una capacità di detection and response, compreso rilevamento delle minacce e threat hunting, entro sei mesi? Avete un team esperto per gestire un servizio di monitoraggio e risposta 24 ore su 24, 7 giorni su 7? Se il tempo è davvero il problema principale, allora un servizio di rilevamento e risposta gestito, sia da un fornitore sia da un provider di servizi di sicurezza gestiti (MSSP), è probabilmente l'opzione migliore. C'è sempre la possibilità di utilizzare l'MDR come soluzione provvisoria mentre si costruisce la propria capacità interna, ma se il personale e il mantenimento delle competenze per gestire questo tipo di servizio sono al di là del vostro budget, è interessante anche fare in modo che il problema sia di qualcun altro.
Quale piattaforma è più adatta: SIEM, EDR o MDR?
Cominceremo da ciascuno dei due estremi di uno spettro: la necessità di vedere e controllare tutto e il desiderio di affidare tutti i problemi a un fornitore esperto. Si tratta di estremi e, come è ovvio, molte organizzazioni si trovano a metà strada tra i due. L'Endpoint Detection and Response si colloca in questa felice via di mezzo: è uno strumento potente nelle mani giuste, mantiene il potere e la visibilità nelle mani del team di cybersecurity e, se le cose iniziano ad andare seriamente storte, un fornitore decente avrà un modo per sottoporre le sfide più difficili o schiaccianti a una schiera di esperti e di addetti alla risposta. WithSecure, ad esempio, offre un servizio chiamato Elevate che fa da ponte tra le capacità di un EDR e quelle di un servizio MDR completo. Per le organizzazioni che desiderano fare proprio questo, WithSecure™ Elements EDR, attraverso uno dei nostri partner come parte di un servizio gestito o servizio autogestito, fa al caso loro. Poiché disponiamo di una serie di ricercatori, threat hunter e incident responder interni, possiamo mettere a disposizione le nostre risorse quando il vostro team ha bisogno di una scala più ampia o di competenze più specifiche.
Ci sono poi casi in cui un buon SIEM ha molto senso. Se la conformità alle normative è una priorità, se l'autogestione è pratica perché disponete già di un team consolidato, o se la registrazione forense, l'analisi e la gestione dei dispositivi endpoint sono in cima all'elenco delle priorità della vostra organizzazione, allora la costruzione e il mantenimento di un SIEM forte ed efficace sono inevitabili. Il costo sarà elevato. Ma in settori con questo tipo di esigenze, è probabile che la dirigenza dell'organizzazione, se ha un po' di buon senso, abbia già incluso questo aspetto nei costi di gestione. Un'eccezione è rappresentata dal caso in cui l'organizzazione stia perseguendo un approccio esclusivamente cloud. Spiacente, ma c'è un aspetto tutt'altro che positivo: è possibile che i risparmi e la flessibilità ottenuti con l'approccio cloud vengano messi in ombra dalla creazione di un SIEM per tenere traccia di tutto.
MDR on-premise?
Se non si applica nulla di tutto ciò, allora c'è l'MDR. L'IT on-premise, la necessità di soddisfare i nuovi requisiti di sicurezza nell'ambito dell'accreditamento ISO27001, i tassi di falsi positivi superiori al 10% e le minacce provenienti dall'interno e dall'esterno sono tutti elementi che si prestano a un approccio MDR, soprattutto se dotato di una buona dose di UEBA (User Entity and Behavior Analytics). Lo stesso vale se avete difficoltà ad assumere o trattenere personale qualificato: una risposta assicurata, la necessità di liberare le risorse di sicurezza IT esistenti o di aumentare le capacità del vostro team sono tutti indicatori che suggeriscono che l'MDR potrebbe essere l'opzione giusta. Lo stesso vale se non ci sono conoscenze istituzionali di threat hunting o se il vostro team di sicurezza aziendale non è in grado di rispondere agli avvisi: l'MDR, sia esso il nostro Countercept MDR o un servizio EDR gestito da uno dei nostri partner, può fare al caso vostro. I partner locali che forniscono MDR sono particolarmente preziosi in situazioni in cui la vostra organizzazione ha requisiti specifici per il settore o preferisce servizi forniti in lingue diverse dall'inglese internazionale. Se un servizio di monitoraggio e risposta 24/7 non è indispensabile, in alcuni casi è opportuno ricorrere a un servizio gestito da un partner. Infine, se si apprezza un flusso continuo di informazioni sulla sicurezza e di raccomandazioni per il miglioramento della postura quando l'organizzazione non è sotto attacco, allora l'MDR di Countercept è un'ottima soluzione; i nostri threat hunter passano gran parte del loro tempo a ricercare le minacce e a pensare come gli attaccanti, e trasmettere queste informazioni ai clienti fa parte del loro lavoro.
E poi?
Se la creazione di un proprio sistema di detection and response è interessante, ma avete bisogno di capire meglio se questa è la strada giusta, potete sempre parlare con uno dei nostri specialisti per capire quale sia l'approccio più adatto alla vostra organizzazione.
Se la via di mezzo, ovvero la vostra capacità di gestione con un solido EDR, vi attira, il passo logico successivo è quello di informarvi sul perché avete bisogno dell'EDR.
Infine, se il servizio di Managed Detection and Response risponde a molte delle vostre esigenze, abbiamo 14 domande che vi aiuteranno a scegliere il giusto fornitore di MDR.
Identifica il gap di risposta
La tua organizzazione ha la capacità di rispondere ad un attacco prima che si trasformi in un incidente di maggiore entità? Fai un breve test di valutazione e ottieni un report personalizzato sui livelli di rischio, con consigli pratici su come sviluppare le capacità e implementare i processi aziendali.
Fai una rapida valutazioneVuoi trovare la soluzione più adatta alle tue esigenze?
Contattaci e i nostri esperti ti supporteranno nel processo decisionale.