News
  1. Home
  2. News
  3. Approfondimenti
  4. ...
18 dicembre 2024

Managed Detection & Response: impossibile farne a meno!

Retelit -
Approfondimenti

Anche quest’anno il Rapporto Clusit sulla Sicurezza ICT in Italia (aggiornamento ottobre 2024), senza sorprese e colpi di scena, conferma una tendenza in crescita (+23% - dato globale) degli incidenti di sicurezza avvenuti nel primo semestre 2024. Una crescita dovuta al crescente impatto del cybercrime e delle consuete attività di intelligence osservate da anni, aggravate sempre più dall’escalation del conflitto tra Israele e le milizie islamiche sostenute dall’Iran in vari paesi del Medio Oriente.

I dati ed analisi indicati nel report ci consentono di formulare altri spunti di riflessione e altrettante considerazioni relative agli attacchi cibernetici per comprendere in maniera più accurata lo scenario entro cui ormai ci troviamo tutti ad operare:

  • Aumenta l’efficacia degli attacchi
    In Italia, il 58% degli attacchi rilevati presenta una gravità alta o critica. Questo dato dimostra sia la crescente abilità degli attaccanti, sia le difficoltà sempre maggiori che aziende ed enti incontrano nel reagire efficacemente. Le cause possono essere molteplici e spesso interconnesse, come ad esempio una protezione inadeguata della superficie esposta, una gestione della sicurezza disorganizzata (spesso indice di una sottovalutazione del rischio) e l’incapacità di gestire l’attacco in corso, dovuta a mancanza di procedure chiare o risorse adeguate.

  • Attaccare è facile, economico e ad alto profitto
    Il 51% degli attacchi in Italia è causato da malware, mentre il 27% sfrutta tecniche DDOS. Il malware offre agli attaccanti una vasta gamma di possibilità per compromettere i sistemi. È spesso difficile da rilevare, ha un’alta probabilità di successo e comporta costi contenuti, rendendolo uno strumento altamente remunerativo, specialmente se utilizzato su larga scala. Organizzare un attacco DDOS, invece, può essere altrettanto semplice ed economico: sul dark web sono disponibili piattaforme as-a-service che non richiedono particolari competenze tecniche. Per i più intraprendenti, esistono persino guide dettagliate su come eseguire un attacco.

  • Ogni azienda e organizzazione può essere un bersaglio, nessuna esclusa
    Il Rapporto evidenzia come quasi tutti i settori merceologici siano stati colpiti da incidenti informatici, seppur con percentuali differenti.
    Al secondo posto nella classifica delle categorie più colpite troviamo i Multiple Target (13% degli attacchi complessivi). Si tratta di attacchi mirati a colpire simultaneamente più obiettivi, pianificati con una logica industriale per massimizzare l’impatto e il successo. Questa strategia non discrimina in base a dimensioni, settore o livello di sicurezza implementato. Inoltre, il 71% degli incidenti totali è attribuito a cybercriminali, seguiti dagli attivisti (27%). Il movente principale dei criminali informatici resta il profitto: colpiscono qualunque azienda o organizzazione, a condizione che l’attacco risulti vantaggioso.

La crescente sofisticazione degli attacchi e l’espansione della superficie di attacco, amplificata dall’adozione sempre più diffusa di soluzioni in cloud, stanno rendendo inefficaci le misure tradizionali, pur restando necessarie. Soluzioni come la protezione degli endpoint o la sicurezza perimetrale (firewall, web application firewall) si dimostrano limitate quando implementate come strumenti isolati. Sebbene svolgano adeguatamente il loro compito specifico, queste tecnologie non riescono a "percepire" e valutare ciò che accade nell'ambiente circostante, compromettendo la capacità di risposta agli attacchi più complessi.

Cosa fare

È fondamentale comprendere che, anche con le migliori misure di sicurezza, esiste sempre la possibilità di subire un attacco. Per questo motivo, è essenziale essere pronti ad affrontarlo e gestirlo in modo efficace. Gestire un attacco significa prima di tutto bloccare l’attaccante attraverso una serie di azioni chiave:

  • Intercettare l’attacco e quindi monitorare ogni possibile veicolo;
  • Valutare e definire la miglior strategia di contenimento;
  • Identificare le azioni puntuali per contenere l’attacco ed eseguirle;
  • Ri-valutare la strategia sulla base degli esiti delle azioni compiute;

Per garantire l’efficacia di questo processo, è necessario puntare su quattro fattori imprescindibili:

  • Tempo: agire con rapidità e continuità è cruciale. Le operazioni devono includere il monitoraggio 24/7, l’analisi in tempo reale degli eventi e un’esecuzione immediata e senza interruzioni.
  • Organizzazione: è indispensabile un team (blue team) con ruoli e responsabilità chiari, processi ben definiti e procedure consolidate. Una gestione coordinata nei momenti di crisi può fare la differenza.
  • Know-how: il team deve essere composto da professionisti con competenze approfondite, certificazioni aggiornate e un’esperienza solida.
  • Strumenti: servono tecnologie avanzate capaci di intercettare, analizzare e integrare informazioni per supportare il team. L’uso di intelligenza artificiale e machine learning è fondamentale per automatizzare attività ripetitive, garantendo precisione e rapidità, come nella gestione dei falsi positivi.

MDR, la giusta risposta

Il servizio di Managed Detection & Response (MDR) è la giusta risposta per l’individuazione ed il contenimento degli attacchi.
È un servizio che si distingue per il connubio tra le competenze e la professionalità del SOC (Security Operation Center) e l’uso di una piattaforma integrata predefinita composta da più componenti e soluzioni di sicurezza. Mette a disposizione del Cliente, 24 ore su 24, le necessarie competenze per gestire efficacemente le fasi di contrasto ad un attacco attraverso un team (SOC - Security Operation Center) che opera in maniera coordinata, basando le proprie attività su processi e procedure pre-modellate:

  • L’ individuazione dell’attacco: svolta in sostanza dalla piattaforma integrata;
  • L’analisi degli eventi: il SOC analizza le notifiche generate dallo stack tecnologico per determinarne la rilevanza, l'urgenza e la priorità di intervento. Questa fase ha lo scopo di filtrare e classificare i segnali d'allarme (alert) generati dagli strumenti di monitoraggio, garantendo che le risorse del SOC si concentrino sulle minacce reali e più critiche. Le informazioni sull’attacco sono integrate da ulteriori informazioni provenienti dalla threat intelligence
  • L’investigazione (threat hunting): il SOC svolge una attenta analisi degli eventi e della telemetria raccolta dallo stack tecnologico cercando tracce di minacce informatiche sconosciute attive e che sono rimaste inosservate; l'obiettivo principale della caccia alle minacce è scoprire potenziali incidenti prima che abbiano un impatto negativo sull'organizzazione;
  • La risposta all’attacco. Il SOC elabora la strategia di contenimento e comunica e coordina le attività per bloccarlo secondo i playbook predefiniti individuando ruoli e responsabilità delle persone coinvolte. Laddove le tecnologie di sicurezza del cliente lo consentono possono essere previste delle integrazioni per attivare le remediation automatiche.

Il SOC sfrutta uno stack tecnologico predefinito compreso nel servizio MDR, necessario per operare efficacemente e che:

  • consente di coprire e monitorare gli endpoint (server, postazioni di lavoro), le reti ed i log degli eventi generati dai sistemi e dalle risorse presenti in cloud;
  • comprende componenti per la elaborazione, interpretazione e correlazione degli eventi e della telemetria proveniente dai dispositivi osservati. Il fondamentale uso dell’intelligenza artificiale e degli algoritmi di machine learning consentono una veloce elaborazione delle informazioni e la generazione di allarmi specifici relative a possibili attacchi o anomalie;
  • consente di attivare da remoto le prime attività di contenimento (ad esempio l’isolamento degli endpoint compromessi)
  • ben si integra con le componenti da difendere dell’azienda o organizzazione o con gli strumenti di difesa già implementati presenti sul campo a salvaguardia degli investimenti già fatti dal Cliente e a tutela del know-how nel loro utilizzo
  • è completamente gestito dal fornitore del servizio MDR che ne garantisce il completo funzionamento e le evoluzioni successive.

Il servizio MDR permette alle organizzazioni di esternalizzare il rilevamento e la gestione delle minacce, riducendo la pressione sui team interni e migliorando l'efficienza operativa grazie alle competenze del SOC e dello stack tecnologico utilizzato. L’ approccio “chiavi in mano” basato sul connubio tra competenze e tecnologia permette quindi:

  • di evitare investimenti grazie all’uso di componenti tecnologiche già comprese “as a service” ed abbatte i tempi di implementazione legati alla sola integrazione (standard) dei dispositivi del cliente allo stack tecnologico del servizio;
  • di ridurre la complessità IT e la sua gestione: evitando l’introduzione di nuovi strumenti di sicurezza che devono essere gestiti e mantenuti in costante efficienza;

La proposta di Retelit

Retelit ha sviluppato un catalogo di servizi di cybersecurity suddiviso in tre principali categorie, ciascuna progettata per rispondere a specifiche esigenze e per affrontare le diverse fasi di un percorso di miglioramento della postura di sicurezza aziendale:

  • Analisi: comprende tutti i servizi che aiutano il cliente a prendere consapevolezza della propria postura di sicurezza e definire un percorso di miglioramento.
  • Protezione: servizi per la protezione gestita dei dati e delle infrastrutture di una azienda, ente o organizzazione realizzata in modalità as-a-service.
  • Difesa: servizi specializzati nella sorveglianza e gestione degli incidenti di sicurezza.

All’interno della famiglia Difesa, Retelit ha sviluppato il servizio Managed Detection & Response (MDR), una soluzione progettata per gestire in modo efficace i cyber attacchi. Basato sui principi chiave delineati in precedenza, il servizio MDR combina l’uso di tecnologie avanzate, come intelligenza artificiale e machine learning, con le competenze del Security Operation Center (SOC), un team di esperti organizzato su tre livelli (analyst, specialist, expert specialist).

La piattaforma è progettata per integrarsi con le soluzioni di sicurezza del client (come, ad esempio, soluzioni SIEM – Security Information & Event Management, soluzioni EDR – Endpoint Detection & Response, Next generation antivirus, soluzioni antiphishing,..) rispettando gli investimenti già sostenuti e l’operatività del cliente stesso. La modularità del servizio consente inoltre di complementare le tecnologie già presenti con altre in grado di presidiare altri vettori di attacco, consentendo al SOC di avere una “visibilità” aumentata ed un migliore campo di azione.

Affidare la gestione dei cyber attacchi alle competenze e alla professionalità di Retelit, rappresenta una soluzione ideale per affrontare una sfida sempre più complessa. Grazie alla combinazione di tecnologie avanzate e competenze specialistiche, garantiamo una gestione efficace degli attacchi, riducendo i rischi e le potenziali conseguenze dannose per i clienti.



Approfondimento a cura di Andrea Priviero - Product Marketing Retelit

Per richieste commerciali inviaci un messaggio