In un report pubblicato alla fine del 2021, Gartner ha spezzato una lancia in favore delle soluzioni Managed Detection & Response (MDR) sostenendo che saranno sempre più gettonate rispetto a quelle Endpoint Detection & Response (EDR), tanto da raggiungere il 40% del mercato entro il 2024.
Cerchiamo di comprendere i motivi di questo cambiamento radicale nella cultura della sicurezza aziendale, misurando il fenomeno con le informazioni a nostra disposizione. Come vedremo, è una scelta che ha più a vedere con le richieste delle alte sfere delle imprese, che non con delle reali risposte ai problemi della cyber security.
Ma andiamo per gradi spiegando le differenze tra MDR ed EDR e introducendo uno studio redatto da Enterprise Strategy Group, azienda che si occupa di analisi e ricerca nel comparto dell’IT.
Comunicare la cyber security al board aziendale: le strategie per conversazioni efficienti
Indice degli argomenti
Managed Detection & Response (MDR)
Non si tratta di una tecnologia propriamente detta ma di un servizio che monitora in modo continuo ogni infrastruttura IT affinché possa rilevare in modo rapido le criticità e rispondere prontamente alle minacce. Un servizio tipicamente erogato secondo formule diverse a seconda del fornitore scelto e teso a rilevare una gamma variabile di minacce.
In nessun modo può ritenersi sufficiente a garantire la sicurezza IT, tant’è che molto spesso alle soluzioni MDR vengono affiancati supporti specifici quali sistemi NTA (Network Traffic Analysis) oppure IDS (Intrusion Detection System).
Endpoint Detection & Response (EDR)
Gli EDR si concentrano sul rilevamento delle minacce e sulle relative risposte limitatamente agli endpoint, quindi sui dispositivi della rete e non sulla rete in sé. Si occupa di client, server e dispositivi mobili e, laddove una rete ne è densamente popolata – considerando anche l’elevato numero di minacce a cui gli endpoint sono potenzialmente esposti – è facile comprendere che si tratta di una politica di sicurezza dispendiosa in termini di tempo e di impiego di altre risorse.
Il punto della situazione
Da una parte gli MDR, ossia servizi che si occupano di monitorare continuamente l’IT nel suo insieme e dall’altra gli EDR, protezioni degli endpoint tipicamente in uso nelle aziende. Due filosofie diverse che hanno pesi specifici e costi differenti e che, soprattutto nelle grandi organizzazioni, sembrerebbero in forte contrasto tra di loro proprio in virtù dell’impiego di risorse che richiedono. Ma a fare pendere l’ago della bilancia verso gli MDR subentra un altro elemento e, come vedremo, nulla ha a che fare con la cyber security.
Perché gli MDR si stanno imponendo sul mercato
Oggi l’offerta di prodotti EDR è molto ampia, ci sono anche soluzioni che usano il Machine learning e le AI per individuare e anticipare le minacce. Parallelamente, le minacce si fanno sempre più invasive e pericolose. Non solo: le vie della compromissione di interi sistemi, non sono più limitate agli endpoint o alle reti, ma si estendono alle applicazioni, al Cloud, ai tanti servizi erogati direttamente via web e, naturalmente, sfruttano l’uomo e le sue, anche involontarie, debolezze in materia di sicurezza.
Gli EDR si dimostrano perfettibili, rilevano le minacce e lasciano agli addetti alla cyber security dell’azienda il compito di stabilire le priorità e le politiche di risposta. Generano anche una moltitudine di falsi positivi che cresce – almeno per principio – assieme al numero di endpoint sulla rete che, peraltro, oggi può persino definirsi di difficile misurazione. Non ci sono soltanto i dispositivi della rete aziendale ma anche quelli mobili, i Pos, i sensori, e quant’altro.
Ecco quindi che gli MDR, servizi gestiti dall’esterno, prendono piede sollevando i dipendenti da compiti stressanti e ripetitivi. Servizi attivi 24/7 e che agiscono in concerto con l’impresa che ne fa uso. Questo spiega la crescita del comparto degli MDR, ma introduce un’altra variabile.
La rapidità, e non l’accuratezza, è tutto?
Torniamo alla già citata ricerca effettuata da Enterprise Strategy Group nella quale si legge che la velocità con cui un’organizzazione sa reagire alle minacce è considerata prioritaria. Cosa questa che ha perfettamente senso, soprattutto nei casi in cui una qualsivoglia minaccia mette in forse l’operatività aziendale.
Secondo lo studio, però, il 77% degli specialisti in cyber security conferma di avere ricevuto pressioni dall’alto affinché la velocità diventasse il requisito numero uno: a dettare i ritmi della security diventano, quindi, quegli stessi manager che di sicurezza potrebbero sapere poco o nulla.
Ciò dimostra che la sicurezza non riesce a pizzicare le giuste corde e, di conseguenza, viene male interpretata all’interno di tutta l’organizzazione, con il rischio che le spese per la cyber security risultino persino indigeste agli azionisti.
