SIEM, EDR o MDR – Qual è la soluzione più adatta alle esigenze della tua azienda?
Il nostro suggerimento è di approcciare l’argomento dal punto di vista della gestione del rischio. Quanto valgono i “gioielli della corona” della tua azienda? Operi in un settore altamente regolato? Cos’hai da perdere nel caso avvenga una violazione? Quanto sarà oneroso porre rimedio?
Rispondere a queste domande ti aiuterà a capire se dovresti investire su risorse interne e tecnologie, o se rivolgerti a un fornitore di servizi gestiti sia la soluzione migliore per te.
Diamo un’occhiata alle diverse opzioni.
Implementare una soluzione SIEM richiede personale specializzato
Implementare strumenti come quelli di security information and event management (SIEM) e software di forensica può ossere oneroso in termini di tempo e costi. Di solito sono necessari 1-2 anni per implementare una soluzione SIEM e non è raro che il deployment superi il budget e la pianificazione. E non si tratta solo di una decisione di acquistare tecnologia, ma anche di investire nel team.
L’unico modo di ottenere dati validi o effettivi da una soluzione in-house come un sistema SIEM è di avere esperti all’interno del proprio staff. Tuttavia, la sfida principale nel costruire capacità di rilevazione e risposta alle violazioni è proprio cercare di assumere e mantenere talenti nell’ambito cyber security. Frost & Sullivan prevede un deficit di 1,8 milioni di professionisti di cyber security entro il 2022. Quindi, le risorse sono scarse, e le risorse scarse sono costose.
Il fatto che gli attacchi informatici non avvengano solo durante le ore lavorative sarà un altro costo aggiuntivo. Se la tua azienda è un target di alto profilo, avrai bisogno di persone che lavorano su turni giorno e notte nel tuo security operations center (SOC).
Bilanciare il costo e la disponibilità con una soluzione EDR
Implementare una soluzione di endpoint detection and response (EDR) è un modo rapido per avere capacità di rilevamento e risposta alle minacce avanzate e agli attacchi mirati, che potrebbero superare le soluzioni endpoint tradizionali.
Le soluzioni EDR forniscono visibilità e intelligence, ma le aziende devono fronteggiare le stesse sfide descritte sopra con i sistemi SIEM. Avrai bisogno di staff qualificato per filtrare i falsi positivi, trovare dati effettivi e rispondere alle minacce rilevate. E di nuovo, trovare e mantenere professionisti di cyber security è un problema, che diventerà solo più urgente nei prossimi anni.
Le soluzioni EDR più avanzate possono automatizzare il monitoraggio per coprire le necessità 24/7. Questo significa che il tuo team IT può operare durante le ore lavorative per esaminare le rilevazioni, e l’automazione si occupa del resto. Inoltre, le soluzioni possono guidarti nel rapido isolamento e rimedio delle minacce.
È importante comprendere la differenza tra piattaforme di protezione endpoint (EPP) e soluzioni di endpoint detection and response (EDR). Le soluzioni EPP lavorano con la minima supervisione, mentre le soluzioni EDR rilevano minacce che necessitano di attenzione. Qualcuno dovrà sempre esaminare le rilevazioni.
Per semplificare il tutto, ai team IT con poche risorse, il monitoraggio delle rilevazioni può essere affidato a un fornitore di servizi EDR gestiti.
Alta disponibilità a minor costo con un servizio gestito di Detection and Response (MDR)
Un’altra opzione con disponibilità 24/7/365 a un costo molto inferiore rispetto ad avere specialisti interni di cyber security è un servizio gestito di detection and response (managed detection and response – MDR).
Diamo un’occhiata ad un esempio per dimostrare l’enorme quantità di dati che gli esperti di cyber security devono gestire. I nostri sensori hanno raccolto circa 2 miliardi di eventi da un’installazione presso un cliente in un periodo di un mese. I sistemi hanno filtrato quel numero fino a 900.000 eventi sospetti. Solo 15 di essi si sono confermati come reali minacce.
In confronto, con una soluzione SIEM in-house, il tuo staff o le risorse in outsourcing dovrebbe passare al setaccio quei 900.000 eventi sospetti per escludere le sciocchezze e i falsi positivi e scoprire finalmente le minacce reali. Operazioni laboriose come questa possono affaticare anche gli analisti più diligenti, senza citare la necessità di avere disponibilità 24/7 di un team di questo tipo.
Dall’esempio sopra, la seguente presentazione discute uno dei motivi più importanti per cui la tua organizzazione dovrebbe considerare un servizio di sicurezza gestito anzichè lo sviluppo di un sistema SIEM in-house per la rilevazione e la risposta alle minacce: costo, costo, costo!
Costruire capacità di rilevazione e risposta alle minacce in-house è difficile. Se scelto correttamente, un fornitore di servizi di detection and response gestiti (MDR) diventa di fatto il tuo partner di cyber security: le sue capacità diventano un’estensione delle tue.
Ecco perchè consigliamo di considerare un servizio gestito di detection and response anzichè un approccio fai-da-te.
Come prendere la decisione sui tuoi investimenti in sicurezza?
Le opzioni presentate sopra non si escludono a vicenda. Abbiamo esperienza di diversi clienti, che usano una combinazione di SIEM, MDR e SOC. L’MDR è usato per la rilevazione e per guidare il team SOC nella risposta alle minacce. Le soluzioni MDR e EDR possono rafforzare il team SOC interno, per esempio con disponibilità più estesa.
Un’adeguata analisi del rischio aiuta a determinare il tuo livello di investimento in cyber security. Una panoramica dei rischi relativi alla tua azienda consente di prendere decisioni ragionate sulla loro mitigazione. Strumenti quali il servizio F-Secure’s Cyber Breach Impact Quantification ti aiutano a quantificare accuratamente il valore della gestione della sicurezza e del rischio. Quando sai esattamente quanto può costare una minaccia alla tua organizzazione, è facile giustificare gli investimenti.
Vuoi saperne di più? Leggi la nostra guida a Detection and Response
Categorie