Che cos'è rilevamento e risposta gestiti?

Managed Detection and Response (MDR) indica i servizi di sicurezza informatica esternalizzati, progettati per proteggere i tuoi dati e le tue risorse anche se una minaccia elude i comuni controlli di sicurezza dell'organizzazione.

In quanto tale, una piattaforma di sicurezza MDR è considerata un controllo di sicurezza avanzato e operativo 24 ore su 24, 7 giorni su 7, che comprende una serie di attività di protezione fondamentali, inclusa la sicurezza gestita dal cloud per le organizzazioni che non dispongono di un proprio Centro Operazioni di Sicurezza (SOC). I servizi MDR combinano analisi avanzate, intelligence sulle minacce e competenze umane nell'indagine e nella risposta agli incidenti, distribuiti a livello di host e di rete.

Quali sfide possono affrontare i servizi di rilevamento e risposta gestiti?

Poiché il volume, la varietà e la sofisticazione delle minacce alla sicurezza informatica aumentano in modo esponenziale, le organizzazioni faticano a mantenere centri operativi di sicurezza dotati di personale altamente qualificato e risorse sufficienti. Di conseguenza, i fornitori di servizi di rilevamento e risposta gestiti offrono un menu di servizi economicamente vantaggiosi progettati per migliorare le difese della sicurezza informatica delle aziende e ridurre al minimo i rischi senza un investimento iniziale in sicurezza informatica.

I servizi MDR mettono a disposizione analisti altamente qualificati che utilizzano strumenti di sicurezza all'avanguardia e accesso a basi di dati globali costantemente aggiornate. Queste risorse e competenze sono spesso fuori dalla portata della maggior parte delle aziende, sia per motivi di budget che per limitazioni legate alle competenze interne e alle risorse disponibili. Ciò aiuta a tenere il passo con le tattiche e le tecniche degli avversari in continua evoluzione.

I servizi MDR forniscono un'alternativa alle aziende che desiderano dotarsi dei più recenti prodotti di sicurezza avanzata, integrando strumenti Endpoint Detection and Response (EDR) che diventano una sfida per l'apprendimento e la manutenzione dei team delle operazioni di sicurezza. Di conseguenza, il livello di monitoraggio, rilevamento e analisi delle minacce di un'organizzazione viene migliorato senza le difficoltà e le spese necessarie al mantenimento di un team di sicurezza interno completamente equipaggiato e aggiornato con i dati più recenti sulle minacce.

I servizi MDR non si limitano semplicemente a migliorare la capacità di rilevamento e risposta. Inoltre forniscono ai team di sicurezza potenzialmente sovraccarichi anche informazioni di difesa proattive e approfondimenti sulle minacce avanzate. I livelli di rilevamento migliorano e il tempo di violazione si riduce. I servizi MDR possono anche rispondere alle sfide di conformità, offrendo rapporti dettagliati per le parti interessate e la conservazione dei registri conforme a diverse normative e standard. 

Perché scegliere i servizi MDR anziché i servizi MSSP?

I servizi di rilevamento e risposta gestiti, Managed Detection and Response (MDR), vengono spesso paragonati a quelli del fornitore di servizi di sicurezza gestiti, Managed Security Services Provider (MSSP). Sebbene condividano delle somiglianze, differiscono per tecnologia, competenze e relazioni. I servizi MDR sono in genere proattivi e si concentrano sulle minacce, mentre i servizi MSSP sono progettati per essere reattivi e si concentrano sulle vulnerabilità. A differenza degli MSSP, i servizi MDR si concentrano sul rilevamento, sulla risposta e sulla ricerca delle minacce piuttosto che sul monitoraggio degli avvisi di sicurezza. I servizi MSSP gestiscono i firewall, ma non forniscono necessariamente lo stesso livello di ricerca delle minacce, analisi e indagini forensi come i servizi MDR. I servizi MSSP riconoscono i problemi di sicurezza, ma non sono in grado di rivelare i dettagli della minaccia che i servizi MDR forniscono. I servizi MSSP utilizzano la gestione e il monitoraggio dei log, la scansione delle vulnerabilità e spesso le piattaforme SIEM (Security Incident and Event Management) per informare le organizzazioni sulle minacce. L'analisi MDR automatizzata e le risposte alle minacce avanzate, al malware senza file e alle violazioni possono integrare i servizi MSSP. I servizi MDR si basano su comunicazioni più dirette agli analisti, ad esempio voce o email, piuttosto che sui portali. Le interfacce principali per gli MSSP sono portale ed email, con accesso secondario via chat e telefono per gli analisti.

Ecco alcuni confronti tipici tra i servizi MDR e i servizi MSSP. Non tutti i fornitori di servizi MDR includono gli stessi livelli di funzionalità e strumenti nei seguenti servizi:


Servizi MDR
Servizi MSSP

rilevamento e risposta alle minacce 24 ore su 24 e 7 giorni su 7

Alcuni, non tutti

Gestire l'infrastruttura di sicurezza e i firewall

Caccia proattiva alle minacce gestita per rilevare elementi sconosciuti nella rete e negli endpoint.

No

Rilevamento delle minacce basato sulle informazioni, triage e analisi forense estesa.

No

Team di esperti di rilevamento delle minacce disponibili per telefono, email e SMS.

No

Accesso alla Global Threat Intelligence e alle analisi

No

Tecnologia integrata per la sicurezza degli endpoint e della rete

No

Vantaggi del rilevamento e della risposta gestiti (MDR)

Di fronte a campagne e minacce alla sicurezza sempre più numerose e complesse, le organizzazioni devono anche gestire budget di sicurezza in aumento e un mercato del lavoro difficile, con una carenza di analisti della sicurezza qualificati. Ottenere maggiore protezione, approfondimenti e conformità senza aggiungere ulteriori strumenti e personale è un obiettivo che tutte le aziende cercano di raggiungere. MDR può fornire servizi di sicurezza vantaggiosi in grado di soddisfare e mantenere gli obiettivi di un'organizzazione:

  • Monitoraggio 24 ore su 24 e 7 giorni su 7 e meccanismi di comunicazione migliorati con analisti SOC esperti
  • Analisti della sicurezza esperti supervisionano le difese della tua organizzazione senza aggiungere personale a tempo pieno o risorse aggiuntive
  • Servizio completo di rilevamento e risposta alle minacce per gli endpoint gestiti
  • Rilevamento delle minacce migliorato e copertura di rilevamento ampliata
  • Indagine avanzata su avvisi e incidenti, seguita da azioni appropriate
  • Caccia proattiva alle minacce
  • Miglioramento dell'intelligence sulle minacce basata su indicatori e comportamenti acquisiti da approfondimenti globali
  • Miglioramento della risposta alle minacce
  • Riduzione dei tempi di risposta alle violazioni della sicurezza
  • Miglioramento dell'analisi forense e delle indagini di alto livello
  • Gestione delle vulnerabilità
  • Risposta agli incidenti gravi e gestione del registro
  • Riduci il carico di gestione quotidiana della sicurezza sul tuo personale e sul budget
  • Mantieni l'accesso e la personalizzazione delle difese di sicurezza della tua organizzazione
  • Miglioramento della conformità e della reportistica
  • Riduzione degli investimenti in sicurezza, aumento del ritorno sull'investimento (ROI)