MDR, la svolta dei servizi gestiti. Prevenzione, risposta e analisi

Sicurezza MDR, espansione dei servizi dalle PMI alla cogestione delle grandi imprese. Cambiamento di paradigma come risposta rapida agli incidenti e alla crescente complessità delle minacce cyber. Analisi continua, integrazione e implementazione, il ruolo chiave del MSP

I servizi gestiti di Detection and Response avanzata (MDR) segnano un punto di svolta rispetto al passato. Nati all’inizio degli anni 2010, come evoluzione del tradizionale modello di servizi di sicurezza gestiti, i servizi MDR rappresentano un cambiamento significativo nel modo in cui le aziende affrontano le minacce informatiche e rispondono agli incidenti di sicurezza. Questi servizi integrando tecnologie avanzate e competenze umane specializzate per fornire una protezione più completa e reattiva contro le minacce informatiche impongono un modello di servizio nuovo basato sulla prevenzione, la risposta effettiva, e l’analisi. La loro affermazione – come rileva Fabio Rizzotto, VP, Europe South lead, Consulting and Custom solutions di IDC – «riflette la continua ricerca da parte dei clienti di un programma di sicurezza informatica efficace, in particolare per quanto riguarda il rilevamento più rapido di intrusioni, violazioni e capacità di risposta agli incidenti».

DIFFUSIONE TOP-DOWN

I servizi MDR nascono da una costola della più ampia categoria dei servizi gestiti di sicurezza (MSS) che, come spiega Rizzotto di IDC, coprono tutte le varianti dei servizi per le operazioni di sicurezza in outsourcing – «indipendentemente dal fatto che riguardino la gestione di soluzioni di sicurezza distribuite presso la sede di un cliente, soluzioni di sicurezza ospitate in un data center esterno alla sede di un cliente o servizi di sicurezza forniti esclusivamente tramite il cloud e gestiti tramite il cloud senza necessità di infrastruttura locale». Adottate inizialmente soprattutto da grandi aziende e organizzazioni con un alto livello di sensibilità alla sicurezza informatica, consapevoli dell’importanza di proteggere sistemi e informazioni da minacce informatiche sempre più sofisticate, le soluzioni gestite MDR hanno trovato una prima vasta diffusione presso banche, istituzioni finanziarie, compagnie di assicurazione e società di investimento, sia per la natura altamente regolamentata del settore sia per la grande quantità di dati finanziari sensibili da gestire, seguite dalle aziende del settore tecnologico (fornitrici di servizi online e basati su cloud), che hanno rapidamente adottato queste piattaforme per proteggere i loro dati, infrastrutture e utenti da attacchi informatici, per poi diffondersi in maniera molto più trasversale. La novità degli ultimi anni, tuttavia, è data dalla loro diffusione anche in aziende di medie dimensioni, sia per le pressioni sull’IT delle minacce informatiche, sia per la maggiore consapevolezza anche presso le piccole aziende.

PIATTAFORMA E SERVIZIO

I servizi MDR si diffondono prima tra le grandi aziende. Oggi, però lo sforzo dei vendor è quello di rendere questi servizi appetibili anche alle realtà meno strutturate. PMI e grandi aziende affrontano, almeno in parte, sfide tecnologiche simili quando si tratta di implementare un servizio di MDR, sebbene proporzioni e complessità delle sfide possano variare di parecchio. Entrambe si confrontano con le limitazioni di budget per la sicurezza. Le prime più esposte alla cronica limitatezza di risorse finanziarie e umane, e le seconde costrette da spinte contrastanti a bilanciare i budget per coprire le esigenze di sicurezza di funzioni, aree, filiali, e così via. Altrettanto trasversale è la carenza di personale IT qualificato.

A fronte di questi punti di contatto, le grandi aziende in genere si misurano con una maggiore complessità delle loro infrastrutture IT e l’obbligo di conformità alle normative, mentre le PMI, almeno sulla carta, potrebbero disporre di una maggiore flessibilità, anche se molte di loro iniziano a confrontarsi con la complessità che deriva non solo dalla varietà di sistemi, applicazioni e dispositivi, ma anche da tempi più rapidi nell’adozione di tecnologia. In entrambi i casi, l’integrazione di un servizio di MDR in infrastrutture eterogenee può rappresentare una sfida. Per le grandi aziende abituate a operare su scala globale, la soluzione MDR dovrà essere scalabile per adattarsi a un ambiente in continua espansione. D’altra parte, anche le PMI possono desiderare una soluzione che cresca con loro mentre l’azienda si sviluppa.

«Il primo aspetto che la PMI deve comprendere è che un MDR non è semplicemente un prodotto, un software da acquistare e installare, piuttosto una piattaforma che realizza un’architettura di protezione» – osserva Giorgio Sbaraglia, membro del Comitato direttivo di CLUSIT. «Un’architettura che richiede un’analisi accurata dell’infrastruttura informatica esistente e dei fabbisogni. Per le quali è necessario svolgere un’analisi dei rischi e una conseguente valutazione di costi e benefici». L’altro aspetto da non sottovalutare deriva dal fatto che l’implementazione di una piattaforma MDR richiede tempo e competenze, merce rara nel campo della cybersecurity. «La PMI tenderà ad affidarsi direttamente al fornitore per la valutazione dei rischi/fabbisogni e per la scelta. Un modo di procedere che mi sento assolutamente di sconsigliare» – afferma Sbaraglia. «Il fornitore non ci proporrà la soluzione più adatta, ma – ovviamente – quella che è in grado di fornire, disponibile nel suo portafoglio di prodotti. E non è detto che sia la scelta migliore».

Il suggerimento è di non fermarsi alla prima offerta: tutti i maggiori vendor hanno in catalogo soluzioni e piattaforme di servizio MDR. E molti di loro sono in grado di offrire servizi avanzati SOC, piattaforme SIEM e personalizzazioni anche molto spinte. Ma mentre per le aziende più strutturate si tratta di un percorso spesso già avviato, le incognite per le PMI possono essere numerose. «Ogni PMI ha proprie esigenze e quasi sempre risorse limitate» – spiega Andrea Paita, responsabile dei Servizi di Cybersecurity di S3K. «Pertanto, è importante valutare attentamente i requisiti specifici dell’azienda in termini di sicurezza delle informazioni e definire obiettivi chiari per l’implementazione della piattaforma MDR. Questo aiuta a focalizzare gli sforzi sulle aree critiche e massimizzare il valore ottenuto».

È indubbio che la selezione del vendor adatto può fare la differenza tra una soluzione di sicurezza efficace e un’altra inadeguata alle esigenze della propria azienda. «Conoscere la storia e la roadmap futura del fornitore nel mercato della cybersecurity è fondamentale» – afferma Massimo Lucarelli, EMEA Sales engineering director di Bitdefender. «Innanzitutto, da quanto tempo il fornitore opera nel settore della cybersecurity e se quest’ultima è il suo focus principale. C’è stata un’esplosione di piccole aziende nuove che vendono servizi MDR, mentre altri fornitori specializzati in servizi IT si stanno aprendo anche all’MDR. Sebbene offrano prezzi molto bassi, alcune non dispongono di tecnologie e capacità di servizio comprovate. Solo le aziende presenti sul mercato da molto tempo e specializzate in cybersecurity hanno la mentalità e la capacità di investimento per continuare a migliorare ed evolvere le proprie soluzioni e competenze».

IL RUOLO DELL’MSP

Altrettanto importante – sottolinea Sbaraglia di CLUSIT – sia nella scelta che nella implementazione e gestione della soluzione è il ruolo del Managed service provider (MSP). «Nella maggior parte dei casi che ho gestito, la PMI non tratterà direttamente con il produttore, ma sarà l’MSP a gestire l’installazione e il setup dell’MDR, utilizzando il software messo a disposizione dal vendor, per essere integrato e settato sull’infrastruttura del cliente. Su questo punto, il consiglio è di valutare più offerte, esaminare le soluzioni MDR proposte, cercando di andare più a fondo di quello che sono le descrizioni e le specifiche commerciali che il fornitore indica, talvolta in una forma neppure troppo esauriente». In questa fase di analisi – rileva Sbaraglia – «l’auspicio è che l’azienda disponga di figure con competenze elevate in grado di indirizzare e non subire le scelte sulla soluzione MDR più adatta. E soprattutto – in caso di approdo – capaci di redigere un contratto con le clausole e i livelli di fornitura utili per l’azienda».

DUE INCOGNITE

I tempi di avvio del servizio e l’integrazione con i sistemi legacy. I tempi di avvio di un servizio MDR possono essere influenzati da diversi fattori, e la soluzione messa a disposizione del vendor è solo uno di quelli da considerare. Complessità dell’ambiente e preparazione del personale per esempio incidono quasi sempre sui tempi di avvio. Se l’azienda dispone di una solida infrastruttura, se le principali misure di sicurezza sono già operative, e se il personale IT e aziendale è abituato a operare in aderenza a stringenti policy di sicurezza, i tempi di avvio saranno ridotti. Al contrario, quando si rendono necessarie modifiche e aggiornamenti, revisione delle politiche di sicurezza formazione e addestramento, i tempi tenderanno a dilatarsi. «Le tempistiche di avvio derivano dal tipo di business del cliente, dalle infrastrutture in perimetro, dalla complessità della gestione delle informazioni» – sintetizza Paita di S3K. «Inoltre per implementare un servizio MDR efficace è necessario uno sforzo di analisi iniziale, che coinvolge necessariamente sia il cliente che il fornitore. Comunicazione e cooperazione tra azienda e fornitore del servizio sono essenziali per garantire una corretta implementazione».

La presenza di infrastrutture meno complesse, rispetto alle grandi imprese, può semplificare il processo di implementazione nelle realtà meno strutturate. «Tuttavia, le PMI possono avere difficoltà nell’introdurre soluzioni avanzate di sicurezza che richiedono un lavoro maggiore di calibrazione e di analisi delle informazioni fornite» – mette in guardia Alessandro Berta, manager Systems engineering – Enterprise Italy di Fortinet. «Un caso esemplare è quello dell’Endpoint detection and response che necessita di competenze specifiche da parte dello staff IT, sia per fare un giusto tuning dell’EDR sia per non bloccare involontariamente alcune applicazioni legittime. Inoltre, bisogna saper contestualizzare in modo corretto gli alert della piattaforma. Per questi motivi – prosegue Berta – consigliamo alle PMI di considerare anche i servizi associati MDR di Fortinet o di altri nostri partner. I nostri professionisti MDR possono fare le dovute calibrazioni e garantire un monitoraggio continuo H24 degli eventi sospetti, sfruttando appieno le informazioni fornite dalla tecnologia EDR».

Alex Galimi, SE team leader di Trend Micro Italia sottolinea invece l’importanza per le PMI di prendere confidenza con i processi aziendali, strutturando le policy per la corretta gestione e manutenzione dei dati. «Contemporaneamente, possono intraprendere il percorso tecnologico che porterà ad avere una visione chiara e costante dell’infrastruttura aziendale, attraverso l’implementazione di soluzioni di monitoraggio e correlazione dati che permettono di identificare le criticità cyber e intervenire».

ONBOARDING

Le fasi di implementazione di una piattaforma MDR dovrebbero includere un chiaro programma di onboarding, in altre parole – «un piano strutturato e ben definito che il fornitore MDR mette in atto per guidare e assistere gli utenti durante il processo di adozione della piattaforma con step e tempistiche previste per misurare i progressi» – spiega David Shen, sr director Product management, Enterprise products di Bitdefender. Rivolgersi a un fornitore in grado di condividere con il cliente un processo di onboarding definito e automatizzato per facilitare l’implementazione costituisce un prerequisito importante. «Se si è consapevoli che si potrebbe aver bisogno di assistenza, è opportuno assicurarsi che il fornitore disponga di servizi professionali per supportare l’implementazione» – aggiunge il sales engineering director a livello EMEA di Bitdefender Massimo Lucarelli.

INTEGRAZIONE

In teoria, una buona soluzione MDR è stata progettata per adattarsi a una vasta gamma di ambienti e infrastrutture aziendali. Tuttavia, nella pratica, ciò potrebbe non sempre essere sempre vero, specialmente se si considera che ogni azienda può avere configurazioni uniche, applicazioni personalizzate e requisiti specifici. Perciò inserire una soluzione MDR in ambiente aziendale, senza mettere in discussione il parco applicativo esistente e gli investimenti già sostenuti, richiede la valutazione preventiva dei requisiti e delle capacità della soluzione stessa, nonché una pianificazione adeguata per ridurre al minimo l’impatto sugli investimenti già effettuati. «Le aziende devono accettare che la sicurezza non è binaria – protetta o non protetta – e capire come proteggere al massimo il proprio investimento, sia che si tratti di tempo o di risorse investite. Inoltre, devono essere consapevoli dei propri sforzi e obiettivi, per assicurarsi che le decisioni tecnologiche e organizzative prese portino nella direzione scelta» – spiega Troels Rasmussen, general manager of Security products di N-able.

Prima di procedere con l’implementazione è consigliabile condurre un’analisi dettagliata dell’ambiente aziendale e consultarsi con il fornitore del servizio MDR per garantire che la soluzione possa essere integrata in modo efficace e senza causare problemi significativi nell’infrastruttura esistente. «Le migliori soluzioni MDR sono in grado di interfacciarsi con tutti i firewall, i router e i sistemi operativi principali e non richiedono la sostituzione del parco applicativo esistente» – afferma Sbaraglia di CLUSIT. «Ovviamente queste compatibilità andranno di volta in volta verificate con il fornitore, prima della scelta dell’MDR». Opinione condivisa anche da Andrea Paita di S3K, che sottolinea come l’introduzione in azienda di una soluzione MDR richiede un’analisi dell’as-is e la definizione di obiettivi chiari, senza escludere la necessità di rivedere quanto si era già implementato. «Un MDR non è un servizio esterno completamente sganciato dal contesto del cliente e potrebbe richiedere integrazioni con l’infrastruttura e con gli applicativi di interesse. Inoltre, la sua implementazione deve tenere conto dei flussi informativi all’interno dell’organizzazione».

SISTEMI LEGACY

Per quanto riguarda l’intervento tecnico vero e proprio, Fabio Sammartino, head of pre-sales di Kaspersky, rimarca la semplicità di implementazione di un servizio MDR, anche se bisogna considerare i limiti dell’infrastruttura: «Più è datata e poco mantenuta, più sarà vulnerabile. Con la possibilità che i criminali informatici potranno infiltrarsi e rimanere nascosti più facilmente. In alcuni casi, l’infrastruttura aziendale si basa ancora su sistemi operativi legacy, che rendono difficile l’implementazione di un servizio MDR. E lo stesso si può dire per gli apparati di rete, che dovrebbero invece fornire i dati con la giusta profondità di dettaglio».

Marco Fanuli, Security engineer team leader di Check Point Software Technologies sottolinea invece la grave carenza di talenti nel settore: «In generale, le organizzazioni faticano a ricoprire ruoli specializzati che richiedono competenze come la risposta agli incidenti, la sicurezza del cloud e l’analisi del malware. L’MDR in tal senso consente di colmare le lacune di personale con professionisti della sicurezza esterni».

Tutti questi fattori, specifici dell’azienda, del fornitore e della soluzione MDR selezionata, determinano i tempi di avvio di un servizio MDR, difficili da quantificare con precisione. Secondo Sbaraglia di CLUSIT, i tempi di avvio di un servizio MDR non potranno essere brevi. Non si tratta di installare un software, ma di creare un’architettura di protezione. «Possiamo stimarli nell’ordine di alcuni mesi, almeno 4 e al massimo 6, tenendo conto che le fasi di implementazione sono in generale sei: la mappatura della rete aziendale esistente; l’individuazione dei dispositivi da monitorare nel sistema MDR: questa fase diventa complessa se si sceglie una soluzione XDR, quindi non limitata ai soli endpoint ma comprendente anche firewall, router, server, e così via; il posizionamento di eventuali sonde di tipo IDS (Intrusion Detection System); l’installazione degli agent su ogni macchina da monitorare; la fase di apprendimento degli agent (almeno un mese); e finalmente la messa in servizio, al termine della fase di test. Queste tempistiche – conclude Sbaraglia – dipenderanno sia dalla dimensione dell’infrastruttura da trattare, in pratica il numero dei dispositivi sotto MDR, sia dalla soluzione adottata: solo endpoint o XDR».

VENDOR E PARTNER AL CENTRO

Tutti i fornitori di soluzioni MDR, e in molti casi anche i loro partner, mettono a disposizione dei clienti una vasta gamma di strumenti e metriche per misurare l’efficacia e il valore aggiunto dei servizi forniti. Queste informazioni includono il numero e la tipologia degli incidenti risolti, nonché il tempo impiegato per la risoluzione. Tali dati sono presentati attraverso dashboard con caratteristiche di usabilità e leggibilità varie, le quali permettono di visualizzare in tempo reale le performance di sicurezza, i dati sull’attività e altre metriche chiave. «Se l’efficacia di una piattaforma MDR dipende dalla visibilità che può offrire, la reportistica è lo strumento ideale per dimostrare l’efficacia del servizio offerto» – ci dice Sammartino di Kaspersky. «Dopo un periodo di implementazione, offriamo report dettagliati e la possibilità di interfacciarsi con gli analisti che identificano gli eventuali incidenti. Il cliente può non essere sempre in grado di comprendere il livello di rischio, effettivo o potenziale, delle minacce e per questo è necessario interloquire in maniera chiara, spiegare i rischi e mapparli proprio nell’ottica di contribuire sempre più alla condivisione delle informazioni». Strumenti e metriche oltre ad aiutare i clienti a valutare l’efficacia e il valore aggiunto dei servizi MDR, consentono loro di misurare i benefici delle soluzioni di sicurezza implementate e di prendere decisioni informate sull’evoluzione delle strategie in campo. La sola reportistica, tuttavia, non sostituisce l’importanza di una costante collaborazione con il vendor e i suoi partner, sia per identificare le metriche rilevanti che per valutare regolarmente i risultati atti a garantire un ambiente aziendale sicuro e protetto.

Trend Micro include nel servizio MDR una componente di feedback molto importante per i clienti. «Forniamo report periodici sull’andamento del livello di sicurezza dell’azienda, insieme alla prioritizzazione e al filtraggio degli avvisi. Questo consente alle aziende di concentrarsi solo sulle questioni più rilevanti, garantendo una gestione più efficiente delle minacce informatiche» – spiega Galimi. Intelligence tecnica alla quale Trend Micro affianca intelligenza umana per supportare i team di security interni – «sgravandoli di una serie di compiti ripetitivi che permettono loro di non affogare in una quantità elevata di alert di sicurezza e falsi positivi». A questo si aggiunge la disponibilità di personale dedicato per qualsiasi evenienza, sia di configurazione che tecnica. «In caso di criticità, inoltre, non viene notificato solo l’incidente, ma viene fornita anche una ricostruzione con l’identificazione delle cause alla radice dell’attacco, i movimenti laterali dei cybercriminali ed eventuali fughe di dati rilevate. Fondamentale sia per la risoluzione dell’incidente sia per il rispetto delle normative. L’azienda attaccata – conclude Galimi – ha così a disposizione tutte le informazioni utili che le autorità potrebbero richiedere in caso di violazione dati».

Il SOC rappresenta una significativa evoluzione dei servizi di Detection and Response avanzati in quanto aggiunge una componente umana altamente specializzata e dedicata alla gestione della cybersecurity. Mentre i servizi di MDR si basano principalmente su strumenti automatizzati di rilevamento delle minacce e di analisi, il SOC offre un livello di competenza e attenzione personalizzata che va al di là delle capacità delle soluzioni completamente automatizzate. In quanto unità specializzata dedicata alla sicurezza informatica di un’azienda o di un’organizzazione, il SOC ha tra le funzioni principali quelle di monitorare, rilevare e rispondere agli incidenti di sicurezza informatica in modo proattivo e reattivo.

S3K offre un servizio SOC in grado di soddisfare le esigenze sia delle grandi aziende che delle PMI, garantendo un livello di servizio uniforme e personalizzato per ciascun cliente. «Manteniamo inalterati i nostri elevati standard di competenza e stesse infrastrutture, fornendo un SOC Tier 3plus con 2 istanze in Business Continuity a Roma. In questo modo, ci adattiamo alle specifiche necessità di ogni cliente, offrendo una protezione efficace e affidabile indipendentemente dalle dimensioni aziendali» – spiega Riccardo Scalzi, global Sales support & Cybersecurity services master architect di S3K.

MERCATO IN FORTE ESPANSIONE

Secondo le stime di IDC, i servizi di Detection and Response avanzata (MDR) sono destinati a crescere a ritmo sostenuto nei prossimi 36/48 mesi. «Il mercato dei servizi di sicurezza a livello globale crescerà con un CAGR del 10,6% dal 2022 al 2027. Il segmento dei servizi di sicurezza gestiti a livello mondiale crescerà a un CAGR dell’11,9% dal 2022 al 2027» – afferma Rizzotto di IDC. Ancora più elevata e rapida, la crescita del mercato MDR, che nelle previsioni crescerà a un CAGR del 28,5% per il periodo 2022-2027. «L’opportunità di un servizio gestito che monitora, blocca e affronta gli attacchi, e quindi risponde secondo le necessità a una pianificazione 24 ore al giorno, 7 giorni alla settimana e 365 giorni all’anno, senza interruzioni, sta riscuotendo successo in tante realtà attente al budget» – spiega Rizzotto. «L’MDR è considerato un campione del midmarket, ma come IDC vediamo una crescita di questi servizi in un’ampia fascia di dimensioni aziendali e casi d’uso. Con le organizzazioni più piccole che si rivolgono ai servizi MDR per elevare rapidamente il livello di maturità della loro postura di sicurezza, e le più strutturate che spesso utilizzano i servizi MDR in una modalità di servizio cogestita».

La crescita del segmento riceverà probabilmente una spinta importante anche dalla rapida evoluzione in atto per far fronte alle richieste sempre più stringenti di maggiore sicurezza da parte di aziende e organizzazioni. «Molte delle soluzioni MDR esistenti sul mercato si occupano semplicemente del rilevamento e della gestione degli incidenti informatici, ma fino ad oggi la prevenzione degli incidenti è stata largamente assente nel panorama degli MDR» – rileva Fanuli di Check Point Software Technologies.

Probabilmente, nel prossimo futuro, lo sforzo dei vendor sarà ancora di più concentrato sulla prevenzione degli attacchi, oltre che sull’integrazione sempre più spinta di AI e ML per automatizzare le attività, identificare le minacce e rispondere agli incidenti. Questa tendenza, già nel medio periodo, consentirà ai fornitori di servizi MDR di erogare in maniera più efficace i propri servizi, fornendo una migliore protezione ai propri clienti. Anche l’espansione dei servizi in cloud costringerà i provider MDR a sviluppare soluzioni in grado di proteggere anche questi ambienti, sviluppando servizi ad hoc per la protezione delle risorse negli ambienti virtualizzati, e al tempo stesso espandendo anche quelli connessi alla consulenza cyber.

Kaspersky: Visibilità per un MDR efficace