Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso

Considerazioni da tenere presenti nella scelta del fornitore di servizi di sicurezza gestiti

22 agosto 2019
Henrik Davidsson
Direttore senior per la strategia globale dei partner, i programmi e l'abilitazione, Vectra
Considerazioni da tenere presenti nella scelta del fornitore di servizi di sicurezza gestiti

Le ragioni alla base della scelta di un fornitore di servizi di sicurezza gestiti (MSSP) possono essere numerose, ma uno dei motivi principali è quello di superare la carenza di competenze nel campo della sicurezza informatica. Trovare i talenti giusti nel campo della sicurezza informatica e trattenere i professionisti qualificati una volta che sono stati formati è molto difficile.

Ci sono altre sfide che vale la pena sottolineare quando si considera l'outsourcing a un MSSP. Una di queste è che le descrizioni dei servizi sono molto complesse e difficili da comprendere. Ad esempio, gli accordi sul livello di servizio (SLA) possono essere difficili da confrontare, ad esempio per quanto riguarda ciò che è incluso e ciò che non lo è. I clienti hanno spesso dei limiti in termini di ciò di cui hanno bisogno, ciò che chiedono e ciò che cercano in un rapporto con un MSSP. I clienti devono avere una chiara comprensione di ciò che il MSSP fornirà rispetto alle risorse necessarie per fornirlo.

È quindi molto importante comprendere:

  • Cosa desideri proteggere? Sai dove si trovano le tue risorse critiche?
  • Chi è responsabile di rispondere in modo adeguato a un incidente da parte di un MSSP? I vostri processi interni sono allineati e dotati del personale necessario per interagire con successo con un MSSP?
  • Se state acquistando un servizio di risposta agli incidenti, avete concordato quali diritti o limitazioni include tale servizio? Ad esempio, l'MSSP può mettere in quarantena il laptop del vostro amministratore delegato o bloccare una porta sul vostro firewall? Quali sono le conseguenze per l'azienda? La rilevazione tempestiva e la mitigazione degli attacchi sono fondamentali, soprattutto nel caso dei ransomware.
  • In molti settori si discute dei casi d'uso, che hanno molti vantaggi, in particolare quando si acquista un servizio gestito.
  • Quali sono gli indicatori chiave di prestazione concordati e come vengono misurati? Comprendi appieno il significato dei KPI?

Come si presenta normalmente un servizio di rilevamento delle minacce offerto da un MSSP? Un servizio MSSP ideale dovrebbe essere basato sul modello SOC Visibility Triad , introdotto da Gartner. La triade combina il rilevamento e la risposta di rete (NDR), endpoint e la risposta endpoint (EDR) e i registri degli eventi, che vengono comunemente gestiti tramite un sistema di gestione delle informazioni sugli eventi di sicurezza (SIEM). Utilizzando questo modello, gli MSSP possono correlare e fornire notifiche di incidenti in un portale di segnalazione.

Esistono altri servizi MSSP che possono essere acquistati, ma secondo diverse società di ricerca, quali Gartner, IDC e Forrester, si stima che la maggior parte degli investimenti sarà destinata ai servizi di rilevamento delle minacce.

Roadmap per un rilevamento e una risposta gestiti con successo

Per anticipare le dinamiche e le responsabilità tra voi e il vostro MSSP, è consigliabile prendere in considerazione alcuni scenari:

1. Crea la tua soluzione SIEM personalizzata

  • Tempo necessario per realizzare valore per l'organizzazione, normalmente 12 mesi o più.
  • Difficoltà nel trovare, attrarre e trattenere talenti nel campo della sicurezza informatica all'interno dell'organizzazione.
  • Da quali fonti di log inizi? Cosa è utile per la sicurezza?
  • Come si garantisce una copertura 24 ore su 24, 7 giorni su 7?

2. Relazione MSSP ben gestita o mal gestita con SIEM come servizio

  • Più veloce da realizzare rispetto alla creazione di un prodotto proprio, può essere operativo in almeno sei-dodici mesi.
  • Il valore diminuisce nel tempo quando la relazione non viene gestita correttamente.
  • MSSP ha un'idea di quali fonti di log siano efficaci per il rilevamento delle minacce. Tuttavia, l'analisi dei log per il rilevamento delle minacce è efficace solo nella misura in cui lo sono i log analizzati.
  • È possibile avere una copertura 24 ore su 24, 7 giorni su 7 nel servizio.

3. Ottima gestione del rapporto MSSP con Vectra come servizio

  • Fornisce valore al cliente entro un mese anziché da sei a dodici mesi con SIEM come servizio.
  • Il valore aumenta nel tempo quando esiste un piano e una cadenza concordati di comune accordo per le operazioni.
  • È possibile avere una copertura 24 ore su 24, 7 giorni su 7 nel servizio.
  • Sviluppare nel tempo il servizio con EDR e SIEM come servizio per potenziare il rilevamento delle minacce.
  • Si integra con gli investimenti esistenti quali SIEM, EDR, firewall e sistemi SOAR. Accelera e aumenta il valore complessivo.

Per concludere, prendete sempre in considerazione la possibilità di dedicare un project manager alla supervisione dell'implementazione, indipendentemente dall'area in cui iniziate. Assicuratevi inoltre di organizzare riunioni operative mensili con il vostro MSSP e revisioni trimestrali dell'attività. Ciò vi consentirà di pensare in modo strategico a come costruire un rapporto di lavoro produttivo e identificare nuove aree di miglioramento nel servizio, nonché il suo valore complessivo.

Domande frequenti