A causa di uno scenario della minaccia continuamente mutevole e progressivamente pericoloso per le aziende, tale da aver portato il valore del danno a livello globale pari a due volte il PIL italiano (Fonte Clusit), le imprese non possono rimandare l’implementazione di prassi di sicurezza informatica, in favore della resilienza.
Il vantaggio non riguarda solo la protezione della propria continuità operativa, ma anche la capacità di poter continuare a competere nei mercati nazionali e internazionali. Raggiungere la cyber resilienza significa identificare le attività critiche, gli scenari dei rischi più probabili e implementare appropriate capacità di rilevare eventi di sicurezza sospetti o anomali in tutti gli ambienti IT, prevedendo anche piani di contingency in emergenza.
Fra i servizi gestiti che possono supportare la cyber resilienza dell’azienda vi sono i servizi cosiddetti di Managed Detection and Response (MDR) per gli incidenti informatici.
Le PMI per la cronica mancanza di budget adeguati a sviluppare questo tipo di competenze “in-house”, sono forse le candidate migliori per adottare i servizi di sicurezza gestita. È necessario, quindi, identificare chiaramente cosa si intenda per MDR, valutando pro e contro, ma anche identificando metriche oggettive per la scelta del fornitore nel vasto mercato di vendor che offrono queste capacità.
Indice degli argomenti
Introduzione ai servizi di Managed Detection and Response
I servizi gestiti di rilevamento e risposta incidenti, Managed Detection and Response (MDR) sono costituiti da attività di monitoraggio delle minacce h24/7, rilevamento eventi di incidente e capacità di mitigazione e risposta.
Sfruttano una combinazione di:
- Tecnologie implementate agli strati host e di rete;
- Analisi avanzate;
- Intelligenza sulle minacce (threat intelligence);
- Competenze di professionisti e analisti nell’indagine e nella risposta dell’incidente.
I provider MDR contribuiscono a stabilire l’evento incidente, a convalidarlo offrendo anche a distanza, attività di contenimento delle minacce, remediation e il ripristino dell’operatività (Fonte Gartner).
In particolare, in termini preventivi sono monitorati tutti gli eventi che si verificano nell’environment sotto osservazione, concentrandosi sugli indizi e sulle evidenze che possono annunciare attacchi, ma anche sugli eventi incidente che tentano l’esfiltrazione o la modifica dei dati.
Nel momento del rilevamento (Detection) i sistemi tecnologici e il team di security del fornitore recuperano la cronologia del processo e la catena di eventi in tempo reale per determinare la validità della minaccia e comporre avvisi di sicurezza e segnalazioni dettagliate, unitamente ai consigli per mitigare e intervenire contattando l’azienda interessata.
Secondo gli accordi fra il fornitore MDR e l’azienda, il processo di remediation può essere supportato guidando i tecnici aziendali nelle azioni specifiche sui sistemi (Fonte: Dan Blum “Rational Cybersecurity for business – Springer).
Quando si combina la tecnologia, le capacità dei sistemi di intelligenza artificiale specializzati e le competenze degli analisti della sicurezza qualificati che controllano i sistemi 24 ore su 24, allora la copertura dell’area di rischio che interessa la superficie di attacco aziendale è ragionevolmente mitigata a un livello accettabile, se e solo il valore percentuale del rischio è direttamente controbilanciato da misure di qualità dei livelli di servizio offerti per l’MDR.
Lo scenario delle PMI e i motivi di adozione dei servizi MDR
I costi del crimine informatico per le vittime sono elevati e in crescita. Le analisi stimate mostrano che le cifre globali annuali del crimine informatico cresceranno fino a circa 4,8 trilioni di euro entro il 2025. Tuttavia, il danno reputazionale per le aziende colpite è spesso anche maggiore del danno monetario diretto (Fonte EU “Skills for SME”).
Certamente la sicurezza informatica non riguarda solo le minacce. Può anche essere un motore di crescita per le aziende attive nel mercato della sicurezza informatica. Può persino portare un vantaggio competitivo secondo la ricerca Capgemini.
Fra i target di attacco le più colpite dalle minacce informatiche sono le aziende PMI che troppo spesso sottovalutano i rischi di diventare il bersaglio di un attacco informatico, ma che, invece, dipendono sempre più dai loro sistemi e reti di informazione per fornire servizi e prodotti e soddisfare i loro obiettivi di business. La maggior parte delle PMI (escluse le microimprese) implementa un sistema informativo, sebbene semplificato, comprendente una rete di comunicazione, sistemi e applicativi di gestione dati interconnessi, servizi digitali e molte di loro hanno già una presenza online.
Le PMI sono vulnerabili a causa di risorse digitali diverse per singolo utente, la limitata implementazione di sicurezza e una minore attenzione nella prevenzione dei cyber attacchi. Si consideri anche che, poiché le grandi aziende iniziano a dotarsi di strutture e di team interni, le PMI rappresentano un obiettivo più semplice per i criminali informatici e costituiscono spesso una porta d’accesso alla catena di approvvigionamento.
Per le PMI, il danno finanziario derivante da un attacco può avere un impatto profondo: una ricerca ha indicato che il 60% delle PMI vittime di attacchi informatici non si è ripreso e ha dovuto chiudere entro sei mesi (Fonte EU “Skills for SME”). Secondo il “2019 Global State of Cybersecurity in SMBs” del Ponemon Institute, il numero di violazioni mirate che interessano le piccole imprese è aumentato in modo significativo per tre anni consecutivi.
Il rapporto stilato su un campione di 2.300 professionisti nel mondo ha anche mostrato che il 45% degli intervistati ritiene inefficace l’attuale approccio alla sicurezza della propria organizzazione.
Per farlo le PMI devono affrontare tre sfide, le tre “c”: costi, competenze, complessità. Si parla di costi perché l’esigua disponibilità dei budget obbliga alla strategia basata su “ottimizzare con quanto disponibile” e non permette verifiche di sicurezza periodiche. Il tema delle competenze riguarda l’impossibilità, dati i costi, di assumere professionisti dedicati alla sicurezza. La complessità è causata dalla migrazione verso il cloud e dalle difficoltà di tenuta sotto controllo di ambienti IT diversi e di supply chain più articolate.
I servizi Managed Detection and Response possono, quindi, essere risolutivi per le PMI sul fronte della prevenzione e risoluzione degli attacchi perché l’MDR utilizza gli strumenti di rilevamento per mitigare e bloccare gli attacchi prima che possano causare danni.
Si sottolinea come l’outsourcing del monitoraggio della sicurezza richiede una gestione attenta e sia per la copertura di tutti gli ambiti di rilevamento (applicazioni, configurazioni, persone e processi unici) sia per i livelli di servizio attesi e il controllo della performance del fornitore.
Criteri per scegliere un MDR Provider
I vantaggi nell’adozione di un servizio Managed Detection and Response sono diversi, quali ad esempio un immediato risparmio rispetto alla costruzione di un team in house, un monitoraggio 24/7 del proprio ecosistema IT, tecnologie sempre up-to-date senza doversi preoccupare di aggiornarle e selezionarle nuovamente, ma anche e soprattutto l’accesso a specialisti del settore che permettono maggiore velocità di intervento nel processo di incident handling. Il tempo di rilevamento e la capacità di risposta, infatti, dipendono non solo dagli strumenti tecnologici, ma soprattutto sulle capacità competenze e skill dei professionisti della security.
A tal proposito i provider di servizi di sicurezza investono molto in personale e tecnologia di alta qualità, e sono quindi meglio attrezzati ed esperti in termini di personale interno.
Naturalmente ci sono anche degli elementi di rischio che però, una volta noti, possono essere gestiti durante la scelta del provider MDR. Il primo elemento riguarda l’accesso del provider alla rete e ai dati aziendali, che necessita quindi di limitarlo a tutte le risorse strettamente necessarie al monitoraggio di sicurezza. Cruciale la relazione di trust con il fornitore e la verifica delle sue capacità secondo criteri oggettivi qualitativi.
È necessario inoltre ricordare che esternalizzare la propria sicurezza informatica non significa dimenticarsene. Parte del personale aziendale è responsabile e deve tenere sotto controllo la performance del provider MDR. A tal proposito le aziende devono utilizzare strumenti standardizzati per valutare i fornitori di sicurezza.
La mancata considerazione delle diverse problematiche coinvolte e la gestione dei rischi organizzativi possono avere un serio impatto sull’organizzazione. Il National Institute of Standards and Technology (NIST) come metodo di valutazione ha predisposto la “Guide to Information Technology Security Services” (NIS 800-35) che fornisce assistenza nella selezione, implementazione e gestione dei servizi di sicurezza informatica guidando le organizzazioni attraverso le varie fasi del ciclo di vita dei servizi di sicurezza informatica e fornendo ai decisori di sicurezza IT, gli elementi di valutazione.
Il ciclo è composto da 5 step:
- Avvio;
- Valutazione;
- Soluzione;
- Implementazione;
- Operazione.
I decisori della sicurezza IT devono pensare ai costi coinvolti, ai requisiti di sicurezza sottostanti, al potenziale impatto delle loro decisioni sulla missione organizzativa, sulle operazioni, sulle funzioni strategiche, sul personale e sulle disposizioni del fornitore di servizi, valutando la qualità dei servizi Managed Detection and Response e del fornitore.
Contributo editoriale sviluppato in collaborazione con Cyberoo