Salta al contenuto

Temi di tendenza

Perché può interessarti la Guida Gartner 2020 al mercato dei servizi di Managed Detection and Response

Marzia Romeo

23.09.20 5 minuti di lettura

Proprio come qualsiasi altra innovazione tecnologica degli ultimi 30 anni, è difficile districarsi tra tutte le informazioni in ambito Managed Detection and Response (MDR) per capire cosa ti serve e cosa non ti serve. Le opinioni di terze parti indipendenti hanno un valore inestimabile.

Un altro motivo: “Entro il 2025, il 50% delle organizzazioni utilizzerà i servizi di rilevamento e risposta gestiti per funzioni di threat monitoring e detection and response che offrono funzionalità di contenimento delle minacce”, secondo l’ipotesi di pianificazione strategica nella Guida Gartner 2020 al mercato dei servizi MDR.

Ecco perché condividiamo la guida Gartner 2020 al mercato dei servizi di rilevamento e risposta gestiti* come download gratuito. Questo documento è utile per le organizzazioni che stanno prendendo in considerazione un servizio MDR. Aiuta a fare diverse cose:

Elimina il rumore di fondo su MDR e assiste nel processo di valutazione dei fornitori. Riteniamo che la Guida illustri chiaramente quali caratteristiche e capacità deve avere un vendor per essere un fornitore efficace: siamo grandi fan del rilevamento ad alta fedeltà, ad esempio, qualcosa che ci ha dato un vantaggio nell’ultima valutazione MITRE ATT&CK. Piccolo avvertimento: gli strumenti più efficienti al mondo non sono nulla senza le persone giuste, sia nel team di sicurezza dell’utente finale che a livello del fornitore.

La capacità di risposta e la velocità sono fondamentali. Abbiamo fatto gran battage su questo punto per molto tempo. Ridurre questo gap sulla risposta è fondamentale per difendere l’impresa e pensiamo che sia necessario misurare la fattibilità di un servizio MDR sulla sua capacità di rispondere. Si consiglia di abbinare l’MDR con l’IR. Faremmo un ulteriore passo avanti per dire che l’IR è una parte fondamentale della value proposition di Managed Detection and Response.

Perché? La risposta inclusa nel tuo servizio MDR deve fare di più che affrontare il malware commodity. Deve essere in grado di contenere e bloccare gli attacchi (come il ransomware generato dall’uomo) prima che diventino problemi seri.

In secondo luogo, vuoi assicurarti che le risorse IR e MDR funzionino davvero bene insieme, in modo che non ci siano lacune quando si blocca un incidente. Un messaggio chiave che abbiamo visto nella Guida Gartner concorda con la nostra esperienza: l’MDR dovrebbe essere misurato in base alla capacità di risposta. Il rilevamento è importante, ma non è niente senza una capacità di risposta ancora migliore.

Questo è un punto di partenza significativo: guarda i modelli tradizionali come Managed Security Service Providers (MSSP) e Endpoint Detection and Response (EDR), e sono spesso sintonizzati per avvisare in modo tempestivo prima di coinvolgere l’IR. È meglio sentire dal tuo fornitore che ha fermato un attacco nelle prime fasi piuttosto che sentire che hanno visto segnali di un attacco in corso e potresti voler coinvolgere il team di risposta agli incidenti.

Insieme a questo: la fiducia è tutto e sta crescendo. Le organizzazioni che adottano un servizio MDR efficace sono sempre più disposte ad assumere una posizione che pre-autorizzi il proprio fornitore MDR a eseguire l’azione E POI a discuterne, contenendo attacchi in corso non appena vengono individuati. Questo è qualcosa che il nostro Detection and Response Team (DRT) fa come parte del servizio, risparmiando ai clienti il ​​costo e il ritardo di tirar fuori le armi dell’IR per ogni singolo incidente, anche se è facilmente contenibile.

Abbiamo dedicato del tempo a elaborare il modo migliore per comunicare il nostro flusso di lavoro ai clienti in modo che capissero il come, il perché e il quando delle azioni del nostro team di rilevamento e risposta. I nostri clienti devono sentirsi a proprio agio, una risposta automatica non inizierà ogni volta che si imbatte in un falso positivo. Il nostro servizio è guidato dall’uomo e combina capacità tecniche con esperienza e competenza umane. Ciò ha due elementi, tra l’altro: capire come l’MDR si adatta ai processi esistenti dei clienti e garantire che l’intera organizzazione sia preparata per gli incidenti. Questa preparazione implica cose come condurre esercizi di prontezza o giochi di guerra da tavolo.

La maturità organizzativa nei fornitori di MDR non dovrebbe essere sottovalutata. C’è una curva di apprendimento istituzionale ripida quando si tratta di lavorare con le imprese, che può significare che anche il gruppo dei migliori esperti può far fatica nella fase di startup. Il nostro servizio MDR, Countercept, esiste da cinque anni, ma F-Secure ha cominciato oltre 30 anni fa come fornitore di sicurezza informatica.

La maturità organizzativa e la garanzia di un buon adattamento sono importanti, sia durante la configurazione che come parte di un servizio continuo. Queste cose sono indipendenti dalla capacità tecnica. In un mercato con molti nuovi operatori e acquisizioni in corso, ci sono inevitabilmente fornitori che non hanno necessariamente l’esperienza e le conoscenze necessarie per lavorare con organizzazioni piccole e grandi.

La velocità di deployment e il time to value sono vantaggi chiave dell’MDR, ma devono essere ottenuti senza impatti negativi; agenti MDR mal distribuiti possono distruggere la proprietà di un cliente se non gestiti con cura.

Vorremmo idealmente anche capire ciò che le organizzazioni apprezzano di più dalla loro relazione con un fornitore MDR. Negli ultimi anni abbiamo accolto il feedback della nostra base di clienti su ciò che vogliono vedere con l’intenzione specifica di creare ciò che chiamiamo Peacetime Value. Lo aggiusteremo nel tempo in base alle conversazioni con i clienti, ma sarà interessante vedere cosa cerca anche il resto del mercato.

Conclusioni

I servizi MDR, in particolare quelli con un’eccellente capacità di risposta, sono una scelta potente ed efficace per proteggere le organizzazioni dagli attacchi. Non è per tutti i team di sicurezza o per ogni azienda, e il mercato è molto affollato, ed è qui che riteniamo che questa Guida sia di enorme aiuto per coloro che iniziano il processo di selezione di un fornitore.

L’avvertenza, ovviamente, è che nessuno dovrebbe fare affidamento su un’unica fonte per una decisione di acquisto; ma questo è davvero un ottimo punto di partenza.

*Gartner, Market Guide for Managed Detection and Response Services, Toby Bussa, Kelly Kavanagh, Pete Shoard, John Collins, Craig Lawson, Mitchell Schneider, 26 August 2020

Marzia Romeo

23.09.20 5 minuti di lettura

Post correlati

Newsletter modal

Grazie del tuo interesse per la newsletter di F-Secure. Riceverai a breve un email per confermare la sottoscrizione.

Gated Content modal

Congratulazioni – ora puoi accedere al contenuto cliccando sul bottone sottostante.