La logica della “security fai da te” è destinata a evaporare, per lo meno nella maggior parte degli ambiti. Le ragioni sono già note: a incidere sono sia il contesto in cui le organizzazioni si trovano a muoversi, caratterizzato da un livello di complessità estremamente elevato nella gestione della sicurezza dei sistemi IT, sia la difficoltà di implementare strumenti di sicurezza realmente efficaci.

Su tutto, però, impattano il fenomeno dello shortage cronico di competenze nel settore della cybersecurity e quello degli alti costi legati a creazione e mantenimento di un team di sicurezza che sia in grado di garantire un adeguato livello di protezione 24/7.

Se l’esternalizzazione dei servizi di cybersecurity risponde ad alcune delle criticità illustrate, la prospettiva più evoluta incarnata dal servizio MDR si distingue nettamente per alcuni aspetti che la caratterizzano in maniera specifica. In particolare, è indispensabile evitare l’errore di concentrarsi sul termine managed: l’MDR è qualcosa di più dei classici servizi di sicurezza gestiti.  

MDR, le differenze a livello strategico 

“Per comprendere il concetto di MDR o Managed Detection and Response è utile partire dalla definizione che ne dà Gartner” spiega Luca Bonora, Evangelist di Cyberoo. “All’interno di questa, è possibile infatti individuare alcuni elementi chiave che contraddistinguono l’MDR da altri servizi di sicurezza gestiti”. La definizione cui fa riferimento Bonora è la seguente:

“I servizi MDR forniscono ai clienti moderne funzionalità di Security Operations Center erogate da remoto per rilevare, analizzare, indagare e rispondere attivamente alle minacce. La definizione classica di MDR prevede che i provider di tali servizi installino, all’interno dell’ecosistema del cliente, tecnologie proprietarie che coprono endpoint, reti, servizi cloud, tecnologia operativa (OT), Internet of Things (IoT) e altre fonti, con l’obiettivo di raccogliere log, dati e altre informazioni di contesto utili per analizzare la postura di sicurezza del cliente. I dati raccolti vengono poi analizzati tramite la piattaforma del provider grazie a sistemi di intelligenza artificiale e machine learning. Infine, i servizi di individuazione della remediation vengono eseguiti da specialisti che completano le capacità di monitoraggio e rilevamento in tempo reale”. 

Nella sua interpretazione è necessario, però, evitare equivoci e mettere i puntini su qualche “i” particolarmente qualificante. Il riferimento al SOC, per esempio, rischia di confondere le imprese e creare una sovrapposizione tra i concetti MDR e SOC as a service, che affrontano il tema da prospettive diverse.

“L’adozione di un SOC as a service è certamente utile per molte realtà – spiega Bonora – ma adotta una prospettiva reattiva. L’MDR, invece, ha per sua natura un approccio proattivo. Questo significa che agisce nelle prime fasi di un attacco e richiede, di conseguenza, strumenti che consentano di classificare con tempestività ed efficacia gli eventi potenzialmente dannosi”.

Servizi di sicurezza gestiti: controllo a 360 gradi con l’MDR

Il tema della tempestività nel rilevamento delle minacce è strettamente legato a un altro aspetto che emerge nella definizione di Gartner, in particolare quando si parla di tecnologie proprietarie. Il provider di questo tipo di servizio, a differenza di un fornitore di strumenti di sicurezza, riunisce un doppio ruolo: non solo implementa gli strumenti di sicurezza, ma ne cura anche lo sviluppo.

“Non basta selezionare delle soluzioni di sicurezza e integrarle. Per assicurare un servizio MDR efficace è necessario essere in grado di personalizzare e adattare gli strumenti stessi” continua Bonora. “Questo è possibile solo nel momento in cui si gestisce in prima persona lo sviluppo dei prodotti”.

Proprio il tema della personalizzazione, spiega l’Evangelist di Cyberoo, è fondamentale nella logica MDR: il fulcro sta nell’adeguare gli strumenti al contesto e alla catena del soccorso che si vuole creare. Non il contrario.

Servizi di sicurezza gestiti MDR: strumenti e tecnologie  

Sempre facendo riferimento alla definizione di Gartner, emerge come il concetto di MDR preveda l’utilizzo di strumenti specifici a livello della piattaforma messa a disposizione dell’organizzazione.

“L’identificazione delle minacce richiede l’uso di machine learning e intelligenza artificiale che consentano di automatizzare l’analisi degli eventi” sottolinea Luca Bonora. “Stiamo parlando di strumenti specifici, che non coincidono con i normali tool di EDR e che, per quanto utili, hanno un impatto decisamente più limitato”. 

L’MDR agisce dunque a un altro livello e, ancora più importante, con un approccio agnostico. Questo significa, per esempio, che la sua implementazione non richiede la sostituzione delle soluzioni di sicurezza già installate, a partire dal firewall e lo stesso EDR. “Una piattaforma MDR è in grado di integrarsi con ciò che è già presente e, se necessario, aggiungere ciò che serve per raggiungere un livello ottimale di protezione” sottolinea Bonora.

Il nodo dell’automazione nella fase di response

Se machine learning e AI giocano un ruolo fondamentale nella detection, in fase di response entrano in gioco anche altri fattori. In particolare, l’adozione di sistemi di automation richiede, per prima cosa, di comprendere il contesto in cui ci si muove.

“La possibilità di automatizzare la risposta a un attacco dipende da fattori distinti” continua Bonora. “Bisogna tenere presente che, sotto un profilo squisitamente tecnico, non tutto può essere automatizzato. Anche quando è possibile, bisogna considerare quali sono le policy aziendali”. Una considerazione, questa, che si lega strettamente alla logica della personalizzazione. Ancora una volta, l’evangelist di Cyberoo sottolinea come l’MDR debba necessariamente essere ritagliato sulle specificità dei processi di business dell’organizzazione.

“In definitiva, l’ingrediente fondamentale per mettere a terra un servizio MDR efficace è il contributo degli specialisti cui è affidata l’implementazione” conclude. “È proprio grazie alla loro capacità di interpretare le necessità dell’azienda che è possibile definire la catena del soccorso e prevedere le azioni da mettere in atto per reagire, con successo, a un incidente di sicurezza”. 

Contributo editoriale sviluppato in collaborazione con Cyberoo