Chi si occupa di sicurezza informatica sa che è impossibile pensare di chiudere tutte le porte a chi vuole attaccare la nostra rete. Prima o poi una violazione si verificherà e in quel momento l’attenzione dovrà spostarsi velocemente dalla fase di prevenzione a quella di remediation.
In questo contesto, dove il numero di attacchi aumenta costantemente di anno in anno (una recente indagine di F-Secure attesta un aumento del 32% degli attacchi nel 2018), l’importanza dei servizi MDR (Managed Detection and Response) sta crescendo considerevolmente ed è legata anche a una semplice constatazione: poche aziende hanno le risorse e le capacità per monitorare la loro rete in dettaglio e gestire tutti gli eventi potenzialmente pericolosi. Molti di questi attacchi si basano infatti su tattiche di attacco avanzato che sono impossibili da rilevare con soluzioni standard anti-malware o di protezione degli endpoint.
Anche F-Secure ha seguito questa evoluzione nella sua strategia di sviluppo, con una accelerazione recente derivata dall’acquisizione di MWR InfoSecurity nel 2018. Questa operazione ha portato un importante rafforzamento dell’offerta in campo detection/response: i nuovi servizi cloud di F-Secure sono incentrati su una componente principale di Managed Detection and Response (MDR), un ambito che i principali analisti considerano come uno di quelli a maggiore crescita per i prossimi anni. Gartner stima che entro il 2020 il 60% degli investimenti in sicurezza sarà dedicato proprio alla parte di detection/response, mentre oggi, a livello mondiale siamo sotto il 30% e in Italia, verosimilmente, sotto il 10%.
I servizi MDR gestiti da F-Secure attraverso un SOC proprietario localizzato in Polonia sono erogati non direttamente ma dai partner di canale. Non da tutti, però, solo da partner di canale che hanno seguito un percorso di certificazione selettivo perché in questo ambito servono non solo buone competenze di cybersecurity ma anche la capacità di intervenire efficacemente nella parte di remediation, il che richiede skill specifici.
Tre ostacoli per le aziende
Proprio basandosi sull’esperienza maturata nella gestione degli incidenti, F-Secure ha rilevato che le aziende hanno di fronte tre ostacoli in sequenza, a seconda del loro livello di preparazione e degli strumenti che hanno: non sanno che dati servono per rilevare e contenere un attacco, se li hanno identificati non sanno correlarli, se li hanno correlati non sanno come reagire in maniera appropriata.
L’idea che sta alla base dei servizi di sicurezza gestiti è semplice. La parola “gestiti” significa proprio questo: il servizio è completamente gestito da un partner esterno, che richiede pochissimo input dal team IT interno di un’organizzazione.
“Rilevazione e risposta” (detection and response) si riferisce al modo in cui funziona il servizio. Inserendo sensori sofisticati su endpoint e reti di un’azienda, la soluzione offre una visibilità completa in un ambiente IT più ampio.
RDS, il servizio di sicurezza gestito di F-Secure
Per scenari di questo tipo F-Secure propone “F-Secure Rapid Detection & Response Service” (RDS), servizio gestito di rilevamento e risposta ai cyber attacchi mirati.
RDS include sensori leggeri per il rilevamento delle intrusioni per endpoint, reti e server esca distribuiti nell’intera infrastruttura IT. I sensori monitorano le attività avviate dagli attaccanti e trasmettono tutte le informazioni al cloud di F-Secure in tempo reale.
Il servizio basato su cloud ricerca eventuali anomalie nei dati utilizzando una combinazione di tecnologie avanzate, come l’analisi del comportamento in tempo reale, l’analisi dei Big Data e l’analisi della reputazione. La ricerca delle anomalie procede in due direzioni: comportamenti malevoli noti e sconosciuti.
L’uso di tipologie di analisi differenti garantisce il rilevamento degli attaccanti, anche se usano tattiche di evasione progettate per eludere metodi di rilevamento specifici.
Le anomalie vengono segnalate al team di esperti di sicurezza del Rapid Detection & Response Center di F-Secure che ricercano minacce operando 24x7x365 per verificarle e filtrare i falsi positivi.
Quando viene confermato che un’anomalia costituisce una minaccia effettiva, il cliente riceve un avviso entro 30 minuti. Gli esperti di F-Secure propongono quindi al cliente i passaggi necessari per contrastare e correggere la minaccia. Vengono fornite informazioni dettagliate sull’attacco, che possono essere anche utilizzate come prova nell’ambito di procedimenti penali.
Nei casi più difficili o laddove le risorse IT del cliente non siano disponibili, è possibile contare sull’assistenza del servizio di risposta agli incidenti on-site di F-Secure.
RDS consente al cliente di dormire sonni tranquilli, potendo contare su un team di altissimo livello per l’identificazione delle minacce al proprio servizio.
Per saperne di più o richiedere una demo: https://www.f-secure.com/it_IT/web/business_it/rapid-detection-and-response-service
https://www.ictsecuritymagazine.com/notizie/perche-scegliere-un-servizio-gestito-di-rilevamento-e-risposta-agli-attacchi/