Di tutti gli elementi fondamentali per la sicurezza delle informazioni, il logging richiede molta più cura e alimentazione rispetto ai suoi “compagni” come la crittografia, l’autenticazione o le autorizzazioni. I dati di registro devono infatti essere acquisiti, correlati e analizzati per essere utili e gli strumenti software per la gestione degli eventi di registro sono indispensabili per le aziende di qualsiasi dimensione.

Tradizionalmente, gli eventi di registro sono stati elaborati e gestiti utilizzando gli strumenti SIEM (Security Information and Event Management). I sistemi SIEM forniscono almeno un repository centrale per i dati di registro e gli strumenti per analizzare, monitorare e avvisare su eventi rilevanti. Gli strumenti SIEM (e le capacità di analisi dei dati) hanno sviluppato funzionalità più sofisticate come il machine learning e la capacità di analizzare dati sulle minacce di terze parti.

Cosa sono il rilevamento e la risposta gestiti?

Il SIEM tradizionale non è all’altezza delle fasi di follow-up una volta che un evento o un incidente raggiunge un certo livello di preoccupazione. È qui che entrano in gioco il rilevamento e la risposta gestiti (MDR). Proprio come l’enorme volume di dati di registro rende inefficiente e inefficace per gli esseri umani la revisione manuale dei file di registro, così anche la scalabilità dei moderni data center (con macchine virtuali e container di applicazioni) rende impraticabile rispondere a ogni minaccia con una risorsa umana. I sistemi MDR raccolgono gli eventi di registro e li correlano con l’obiettivo finale di identificare gli incidenti su cui il team di sicurezza dovrebbe indagare e adottano le misure iniziali per mitigare le minacce e, in molti casi, eseguire un’analisi della causa principale.

Una distinzione fondamentale tra MDR e altre tecnologie correlate come il rilevamento e risposta degli endpoint (EDR) o il rilevamento e risposta estesi (XDR) è che l’MDR è gestito, il che significa che è più di un semplice sistema, è un servizio. L’MDR è spesso un’estensione di un centro operativo di sicurezza (SOC) interno, il che significa che il personale della sicurezza IT è affiancato da persone con esperienza sia nella piattaforma MDR, sia in competenze correlate come risposta agli incidenti, analisi delle cause principali e caccia alle minacce. Il vantaggio di avere un team di risposta basato sui servizi è che potete rispondere in modo più efficace agli incidenti senza avere un impatto drammatico sulla vostra forza lavoro.

Questo componente relativo al servizio significa che è necessario considerare gli accordi sul livello di servizio (SLA), i tempi di risposta e altri benchmark relativi alle prestazioni del servizio quando si seleziona una soluzione MDR. Le esigenze organizzative variano notevolmente in base alle dimensioni dell’azienda, ai requisiti di conformità del settore e ad altri argomenti chiave. Allo stesso modo, uno dei maggiori impatti sul budget MDR saranno i costi FTE associati e trovare la giusta via di mezzo sarà quindi un elemento decisionale critico.

Di seguito vi riportiamo le descrizioni di 12 delle principali soluzioni MDR.

Sophos Managed Threat Response

Sophos Managed Threat Response offre il monitoraggio 24×7 dell’infrastruttura e può identificare attivamente sia le minacce che gli incidenti. Sophos applica anche il contesto alle minacce convalidate correlando i dati dell’origine degli eventi con le risorse aziendali, migliorando la capacità di triage e di risposta agli incidenti. Sophos e il suo team possono anche intraprendere le prime fasi di risposta agli incidenti, se necessario, o semplicemente fornire consigli per risolvere le cause profonde degli incidenti ricorrenti.

Arctic Wolf Managed Detection and Response

Arctic Wolf Managed Detection and Response è un altro servizio che offre monitoraggio e gestione 24 ore su 24 delle minacce attive. Arctic Wolf non solo esegue la ricerca attiva delle minacce, ma esegue la scansione continua dei vostri sistemi, cercando le vulnerabilità e valutando i rischi. Arctic Wolf offre anche una soluzione EDR e monitora i dispositivi mobili e IoT, consentendovi di identificare rapidamente i rischi per i dispositivi edge.

Red Canary Managed Detection and Response

Red Canary Managed Detection and Response offre il monitoraggio 24 ore su 24 supportato da SLA e il rilevamento avanzato delle minacce. In termini di strumenti, Red Canary offre playbook di automazione e orchestrazione per facilitare la risposta rapida agli incidenti e reporting esecutivo per le metriche SLA come il tempo medio di risposta. Per le aziende in cui le violazioni o anche i falsi positivi influiscono sulla disponibilità del servizio e sui profitti, Red Canary offre test di rilevamento e convalida per garantire l’efficacia del servizio.

Crowdstrike Falcon Complete

Crowdstrike Falcon Complete non offre solo il monitoraggio 24×7, ma lo fa con un team globale di professionisti in grado di monitorare attivamente le minacce in tempo reale. La piattaforma di Crowdstrike è progettata per il cloud, il che significa che gli strumenti di gestione sono hosted e non è necessario alcun hardware o software server aggiuntivo nel data center. Crowdstrike non supporta solo il monitoraggio dei carichi di lavoro e degli endpoint cloud, ma anche le identità.

veem_report_sicurezza_2022

SentinelOne Vigilance Respond

SentinelOne Vigilance Respond monitora la vostra infrastruttura 24 ore su 24 e offre un tempo medio di recovery (MTTR) di 18 minuti. Forse la caratteristica più intrigante offerta da SentinelOne è la sua tecnologia Storyline, che aiuta a visualizzare il contesto delle minacce alla vostra rete, sia in termini di impatto sul business che di tempistica, consentendovi di rispondere in modo più efficace. SentinelOne potenzia il vostro SOC con professionisti della sicurezza che possono aiutarvi con la risposta agli incidenti, l’analisi forense digitale e persino l’analisi del malware. SentinelOne offre inoltre riunioni su richiesta o incontri trimestrali programmati a seconda del livello di servizio con lo scopo di mantenere aggiornato il team di sicurezza interno sulla posizione della sicurezza e sulle potenziali minacce.

Rapid7 Managed Detection and Response

Rapid7 Managed Detection and Response ha una scalabilità tale da supportare una propria soluzione di monitoraggio. Con oltre 1,2 trilioni di eventi di sicurezza monitorati ogni settimana, Rapid7 dispone infatti di un ricco set di dati con cui sviluppare firme e modelli analitici. Rapid7 offre anche tecniche come il rilevamento del traffico e del flusso di rete e persino tecnologie di intercettazione come gli honeypot per identificare tempestivamente gli attacchi alla rete. Sono inclusi anche la ricerca proattiva mensile delle minacce, le indagini complete e i rapporti sulle minacce convalidate, così come le raccomandazioni prioritarie per rispondere alle minacce. Rapid7 offre inoltre il monitoraggio 24×7 da parte di un team di professionisti della sicurezza distribuito a livello globale.

Alert Logic MDR Solutions

Come Rapid7, anche Alert Logic MDR Solutions offre la scalabilità come caratteristica principale nei suoi servizi MDR. Più di 140 miliardi di eventi di registro vengono analizzati ogni giorno da un SOC 24×7 basato a livello globale. Alert Logic monitora le piattaforme cloud, una serie di applicazioni SaaS, container e una varietà di risorse locali. Alert Logic offre anche report di conformità per soddisfare una varietà di esigenze specifiche del settore, tra cui PCI, HIPAA e SOX. Alert Logic è basato su cloud e offre la possibilità di aumentare la distribuzione in risposta agli incidenti e di tornare indietro una volta mitigata la minaccia. L’integrazione con Slack, Microsoft Teams, ServiceNow e altre piattaforme di collaborazione comuni semplifica la gestione delle notifiche, mentre i playbook di risposta personalizzati aiutano a formalizzare la risposta agli incidenti.

Cybereason MDR

Cybereason MDR e il suo SOC globale 24 ore su 24 offrono tempi di risposta aggressivi: rilevamento delle minacce in un minuto o meno, triage entro cinque minuti e correzione in meno di mezz’ora. Cybereason sfrutta la sua metrica del punteggio di gravità MalOp per aiutare a stabilire la priorità degli sforzi di risposta, nonché il contesto e la correlazione alle minacce per aiutarvi a valutare il rischio per i vostri servizi aziendali critici. L’app di amministrazione mobile MDR fornisce un modo semplice per visualizzare le minacce e avviare una risposta da qualsiasi luogo. Cybereason ha più livelli di servizio disponibili con report mensili, ricerca proattiva delle minacce e antivirus di nuova generazione come caratteristiche delle offerte premium.

Binary Defense Managed Detection and Response

Binary Defense Managed Detection and Response offre il suo SOC-as-a-service 24 ore su 24, 7 giorni su 7 e vanta un tempo medio di risposta alle minacce di 12 minuti. Il rilevamento basato sul comportamento, i sistemi honeypot e la ricerca delle minacce vengono utilizzati per identificare le minacce alla rete.

WithSecure Concertcept

WithSecure Concertcept è un’altra opzione MDR 24×7 che afferma di contenere e correggere oltre il 99% delle minacce, il resto delle quali viene automaticamente inoltrato a WithSecure Incident Response. Il team di rilevamento e risposta (D&R) di WithSecure dedica metà del suo tempo alla ricerca delle vulnerabilità e all’elaborazione di strategie di rilevamento e mitigazione. Inoltre, WithSecure analizza continuamente la vostra infrastruttura per le vulnerabilità e fornisce report per aiutarvi a rafforzare i vostri sistemi per ridurre il rischio di attacco in modo proattivo.

Critical Start MDR Services

Critical Start MDR rivendica una riduzione dell’80% dei falsi positivi il primo giorno, con un’escalation inferiore allo 0,01% degli avvisi. Monitora inoltre i vostri sistemi 24 ore su 24, 7 giorni su 7 e offre funzionalità di risposta agli incidenti in remoto o in loco e di analisi forense digitale. Critical Start si integra strettamente con altre piattaforme di sicurezza che potreste già utilizzare (MS Defender per Endpoint/Sentinel, VMWare Carbon Black, Crowdstrike, SentinelOne, Splunk, ecc.) per aumentare il time to value e aumenta la visibilità dei vostri avvisi attivi attraverso la sua app mobile CriticalStart MobileSOC.

Expel Managed Detection and Response

Expel Managed Detection and Response è un servizio MDR 24×7 basato su una piattaforma XDR che si integra con l’infrastruttura esistente tramite connessioni API, consentendo un’identificazione e una risposta più efficaci alle minacce. Expel si integra strettamente con i sistemi basati su cloud (sia IaaS che SaaS) per identificare le minacce ai vostri sistemi o identità (identità compromesse, comportamento anomalo degli utenti o abuso di accesso privilegiato). Il servizio sfrutta i bot per l’analisi dei log e degli eventi, nonché per eseguire il triage delle minacce. Il reporting è infine un altro punto di forza di Expel, in quanto fornisce dettagli sugli incidenti e sulle attività che considera “interessanti”.