Che cos'è il rilevamento e la risposta gestiti (MDR)?
MDR significato
Il rilevamento e la risposta gestiti (MDR) è un servizio di sicurezza informatica in outsourcing che fornisce alle organizzazioni servizi di ricerca delle minacce e risponde alle minacce una volta scoperte. Coinvolge anche un elemento umano: I provider di sicurezza forniscono ai propri clienti MDR l'accesso al loro pool di ricercatori e ingegneri di sicurezza, che sono responsabili del monitoraggio delle reti, dell'analisi degli incidenti e della risposta ai casi di sicurezza. Le sue tecnologie principali vanno sotto il nome di Extended Detection And Response (XDR) e Security Information And Event Management (SIEM).
Componenti dell'MDR
I componenti fondamentali dei servizi MDR costituiscono la base di una strategia di cybersecurity avanzata e proattiva, che lavora insieme per rilevare, rispondere e prevenire le minacce informatiche in tempo reale.
Ricerca delle minacce
La ricerca delle minacce è un approccio proattivo e guidato da esperti che cerca continuamente potenziali minacce che si insinuano all'interno della rete di un'organizzazione. A differenza dei sistemi di rilevamento automatizzati, i cacciatori di minacce cercano attivamente sottili segni di compromissione e comportamenti sospetti che possono eludere gli strumenti di sicurezza standard. Questo processo pratico aiuta a scoprire minacce furtive e sofisticate prima che possano causare danni significativi, rafforzando lo stato di sicurezza complessivo dell'organizzazione.
Risposta agli incidenti
La risposta agli incidenti è un approccio strutturato per affrontare e mitigare gli incidenti di sicurezza man mano che si presentano. Questo componente comporta l'identificazione e il contenimento rapidi delle minacce, seguiti dagli sforzi di eradicazione e ripristino per ripristinare le normali operazioni. Un team di risposta agli incidenti MDR lavora a stretto contatto con le parti interessate per gestire l'incidente in modo efficiente e implementa misure per prevenire eventi futuri, garantendo un impatto minimo sulla continuità aziendale e sulle operazioni.
Endpoint Detection and Response (EDR)
La risposta agli incidenti è un approccio strutturato per affrontare e mitigare gli incidenti di sicurezza man mano che si presentano. Questo componente comporta l'identificazione e il contenimento rapidi delle minacce, seguiti dagli sforzi di eradicazione e ripristino per ripristinare le normali operazioni. Un team di risposta agli incidenti MDR lavora a stretto contatto con le parti interessate per gestire l'incidente in modo efficiente e implementa misure per prevenire eventi futuri, garantendo un impatto minimo sulla continuità aziendale e sulle operazioni.
Analisi del traffico di rete (NTA)
L'analisi del traffico di rete prevede il monitoraggio del flusso di dati all'interno della rete di un'organizzazione per rilevare anomalie e attività sospette. Analizzando il traffico di rete in tempo reale, i servizi MDR possono identificare i segni di potenziali attacchi, come trasferimenti di dati insoliti o tentativi di accesso non autorizzati. L'NTA è fondamentale per identificare le minacce che possono aggirare la sicurezza degli endpoint, fornendo una visione più ampia della sicurezza della rete.
Security Information and Event Management (SIEM)
Il SIEM integra i dati provenienti da varie fonti, inclusi registri e avvisi, per fornire una visione centralizzata degli eventi di sicurezza in un'organizzazione. I servizi MDR utilizzano SIEM per correlare i dati, rilevare i modelli e identificare le minacce in tempo reale. Questo monitoraggio centralizzato consente un rilevamento e una risposta rapidi agli incidenti e consente al team MDR di assegnare le priorità alle minacce in base al loro potenziale impatto sull'organizzazione.
Monitoraggio continuo
Il monitoraggio continuo garantisce che tutti i componenti del sistema MDR stiano monitorando attivamente l'ambiente dell'organizzazione 24 ore su 24. Questo componente consente al team MDR di rilevare, rispondere e contenere le minacce in tempo reale, riducendo al minimo il rischio di violazioni non rilevate.
Quali sfide può affrontare l'MDR?
L'MDR affronta problemi significativi che affliggono le aziende moderne. Il problema più evidente è la mancanza di competenze di sicurezza all'interno delle organizzazioni. Sebbene la formazione e la configurazione di team di sicurezza dedicati in grado di eseguire la ricerca delle minacce a tempo pieno possano essere fattibili per le organizzazioni più grandi che possono permettertelo, la maggior parte delle aziende la troveranno una proposta difficile date le loro limitazioni delle risorse. Ciò è particolarmente vero per le organizzazioni di medie e grandi dimensioni che spesso si trovano a essere oggetto di attacchi informatici, ma che non dispongono delle risorse o della forza lavoro per tali team.
Anche le organizzazioni che sono disposte a spendere tempo e denaro potrebbero avere difficoltà ad acquisire il personale giusto.
Le aziende devono inoltre affrontare delle sfide quando implementano complesse soluzioni di rilevamento e risposta degli endpoint (EDR), che di solito non vengono massimizzate a causa della mancanza di tempo, competenze e fondi per formare il personale a gestire gli strumenti EDR. MDR integra gli strumenti EDR nella sua implementazione della sicurezza, rendendoli parte integrante dei ruoli di rilevamento, analisi e risposta.
Un problema spesso trascurato quando si tratta di cybersecurity è il volume enorme di avvisi che i team di sicurezza e IT ricevono regolarmente. Molti di questi avvisi non possono essere facilmente identificati come dannosi e devono essere controllati su base individuale. Inoltre, i team di sicurezza devono correlare queste minacce, poiché la correlazione può rivelare se gli indicatori apparentemente insignificanti si sommano tutti come parte di un attacco più ampio. Ciò può sopraffare i team di sicurezza più piccoli e sottrarre tempo e risorse preziosi alle loro altre attività.
MDR mira a risolvere questo problema non solo rilevando le minacce, ma anche analizzando tutti i fattori e gli indicatori coinvolti in un avviso. MDR fornisce inoltre raccomandazioni e modifiche alle organizzazioni in base all'interpretazione degli eventi di sicurezza. Una delle competenze più importanti di cui i professionisti della sicurezza hanno bisogno è la capacità di contestualizzare e analizzare gli indicatori di compromissione al fine di posizionare meglio l'azienda contro attacchi futuri. Le tecnologie di sicurezza possono essere in grado di bloccare le minacce, ma approfondire le modalità, i motivi e gli incidenti richiede un tocco umano.
MDR è progettato per risolvere il problema del divario di competenze di cybersecurity di un'organizzazione. Affronta il problema delle minacce più avanzate che un team IT interno non può affrontare completamente, idealmente a un costo inferiore a quello che l'azienda dovrà spendere per costruire il proprio team di sicurezza specializzato. MDR può anche offrire all'organizzazione l'accesso a strumenti a cui normalmente non ha accesso. Il diagramma seguente illustra cosa può guadagnare un'organizzazione quando entra in gioco l'MDR.
MDR e MSS
Managed Security Service (MSS) viene spesso citato insieme al MDR. Guardando alle tendenze dei servizi offerti dai fornitori, il MDR è spesso realizzato ponendo al centro del servizio l'attività di rilevamento/risposta alle minacce. Il MSS, d'altra parte, spesso si concentra sul monitoraggio dei prodotti di sicurezza e sulla manutenzione dell'hardware.
MDR e MXDR
Mentre la maggior parte dei servizi MDR si concentra sul EDR, esiste un altro tipo di servizio chiamato Managed NDR (MNDR), che ha al centro il rilevamento e la risposta sulla rete (Network Detection And Response, NDR). Rispetto al MDR, che spesso si concentra sul EDR, il MNDR differisce per il fatto che rileva e risponde alle minacce in base alla telemetria e ai registri della rete.
Recentemente è emerso anche il MXDR (Managed XDR), che ha come servizio di base il XDR (Extend Detection and Response). Nell'approccio Rilevamento e Risposta, maggiore è la copertura del sensore, più ricca è la telemetria e migliore è il rilevamento delle minacce.
MDR e MSSPs
Le aziende si sono tradizionalmente rivolte ai provider di servizi di sicurezza gestiti (MSSP) per le loro esigenze di sicurezza esterne. A differenza dei provider MDR, che possono rilevare il movimento laterale all'interno di una rete, gli MSSP solitamente lavorano con una tecnologia basata sul perimetro e rilevamenti basati su regole per identificare le minacce. Inoltre, i tipi di minacce che gli MSSP affrontano sono minacce note, come exploit di vulnerabilità, malware ricorrenti e attacchi ad alto volume. Gli MSSP dispongono di professionisti della sicurezza che eseguono la gestione, il monitoraggio e l'analisi dei log, ma spesso non a un livello molto approfondito. In sostanza, i provider di servizi gestiti sono in grado di gestire la sicurezza di un'organizzazione, ma in genere solo a livello perimetrale, e la loro analisi non comporta una vasta analisi forense, la ricerca sulle minacce e l'analisi.
In termini di servizio, gli MSSP solitamente comunicano via email o telefono, con i professionisti della sicurezza come accesso secondario, mentre i provider MDR eseguono il monitoraggio continuo 24 ore su 24, 7 giorni su 7, che potrebbe non essere offerto da alcuni MSSP.
Tuttavia, gli MSSP forniscono ancora valore alle organizzazioni. Ad esempio, la gestione di firewall e altre esigenze di sicurezza quotidiane della rete di un'organizzazione è un'attività più adatta a un provider MSSP che a un provider MDR, che offre un servizio più specializzato. Di conseguenza, i provider MSSP e MDR possono lavorare insieme, con i provider MDR che si concentrano sul rilevamento proattivo e sull'analisi comportamentale delle minacce più avanzate e che forniscono raccomandazioni di rimedio alle organizzazioni una volta scoperte le minacce.
Soluzione MDR di Trend Micro
- Espandi il tuo team: Sii più resiliente con Premium Support 24/7/365, XDR gestito e servizi di risposta agli incidenti. Il supporto flessibile unito al monitoraggio esperto e all'analisi delle minacce alleggeriscono i team sovraccarichi.
- Massimizza l'efficacia e le competenze: Trend Service One ti consente di fare di più anche con risorse interne limitate grazie ad aggiornamenti e upgrade automatici delle soluzioni, formazione on-demand, guide alle best practice e accesso a esperti di cybersecurity e CISO.
- Rilevamento e risposta più rapidi: Il monitoraggio non-stop delle minacce e degli attacchi da parte delle soluzioni Trend Micro per email, endpoint, server, workload in cloud e reti, combinato con la nostra intelligence sulle minacce e la nostra esperienza a livello mondiale, offre un avviso proattivo e tempestivo delle minacce e una guida alla remediation.