Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo

Considerazioni nella scelta del fornitore di servizi di sicurezza gestiti

22 agosto 2019
Henrik Davidsson
Direttore senior per la strategia, i programmi e l'abilitazione dei partner globali, Vectra
Considerazioni nella scelta del fornitore di servizi di sicurezza gestiti

Le motivazioni alla base della scelta di un fornitore di servizi di sicurezza gestiti (MSSP) possono essere numerose, ma una delle ragioni principali è quella di superare la carenza di competenze in materia di cybersecurity. Trovare i talenti giusti nel campo della cybersecurity e trattenere i professionisti qualificati una volta formati è molto difficile.

Ci sono altre sfide che vale la pena sottolineare quando si considera l'outsourcing a un MSSP. Una è che le descrizioni dei servizi sono molto complesse e difficili da capire. Ad esempio, gli accordi sui livelli di servizio (SLA) possono essere difficili da confrontare, come ad esempio cosa è incluso e cosa no. I clienti hanno spesso dei limiti in termini di esigenze, richieste e requisiti di un rapporto MSSP. I clienti devono avere una chiara comprensione di ciò che l'MSSP fornirà rispetto alle risorse che voi dovete fornire.

È quindi molto importante capire:

  • Cosa volete proteggere? Sapete dove si trovano le vostre risorse critiche?
  • Chi è responsabile di rispondere in modo appropriato a un incidente proveniente da un MSSP? I vostri processi interni sono allineati e dotati di personale per interagire con successo con un MSSP?
  • Se state acquistando un servizio di risposta agli incidenti, avete concordato quali diritti o limitazioni include questo servizio? Ad esempio, l'MSSP può mettere in quarantena il laptop dell'amministratore delegato o bloccare una porta del firewall? Quali sono le conseguenze per l'azienda? Il rilevamento precoce e la mitigazione degli attacchi sono fondamentali, soprattutto nel caso del ransomware.
  • In molte aree si discute di casi d'uso, il che serve a molti scopi, in particolare quando si acquista un servizio gestito.
  • Quali sono gli indicatori di prestazione chiave concordati e come vengono misurati? Avete compreso appieno il significato degli indicatori chiave di prestazione?

Come si presenta normalmente un servizio di rilevamento delle minacce da parte di un MSSP? Un servizio MSSP ideale dovrebbe essere costruito intorno al modello SOC Visibility Triad , introdotto da Gartner. La triade combina il rilevamento e la risposta della rete (NDR), il rilevamento e la risposta endpoint (EDR) e i registri degli eventi, che vengono comunemente gestiti tramite un sistema di gestione delle informazioni sugli eventi di sicurezza (SIEM). Utilizzando questo modello, gli MSSP possono correlare e fornire notifiche di incidenti in un portale di reporting.

Esistono altri servizi MSSP che possono essere acquistati, ma si stima che l'aumento dei servizi di rilevamento delle minacce riceverà la maggior parte degli investimenti secondo diverse società di ricerca, come Gartner, IDC e Forrester.

Tabella di marcia per un rilevamento e una risposta gestiti di successo

Per anticipare le dinamiche e le responsabilità tra voi e il vostro MSSP, è consigliabile considerare alcuni scenari:

1. Costruire la propria soluzione SIEM

  • Tempi lunghi per la realizzazione del valore per l'organizzazione, di solito 12 mesi o più.
  • Difficoltà a trovare, attrarre e trattenere i talenti della cybersecurity nell'organizzazione.
  • Con quali fonti di log iniziare? Cosa è utile per la sicurezza?
  • Come si stabilisce una copertura 24/7?

2. Rapporto MSSP buono o mal gestito con il SIEM come servizio

  • La realizzazione del valore è più rapida rispetto alla costruzione di un proprio impianto, che può essere operativo in almeno sei-dodici mesi.
  • Il valore si riduce nel tempo quando la relazione non è gestita correttamente.
  • L'MSSP ha un'idea di quali fonti di log siano buone per il rilevamento delle minacce. Ma l'analisi dei log per il rilevamento delle minacce è buona solo quanto i log analizzati.
  • Può avere una copertura 24/7 nel servizio.

3. Buona relazione MSSP gestita con Vectra come servizio

  • Fornisce valore al cliente nell'arco di un mese, invece di sei o dodici mesi con il SIEM as a service.
  • Il valore aumenta nel tempo quando c'è un piano e una cadenza delle operazioni concordata da entrambe le parti.
  • Può avere una copertura 24/7 nel servizio.
  • Creare un servizio con EDR e SIEM come servizio nel tempo per aumentare il rilevamento delle minacce.
  • Si integra con gli investimenti esistenti, come SIEM, EDR, firewall e sistemi SOAR. Accelera e aumenta il valore complessivo.

Per concludere, considerate sempre la possibilità di dedicare un project manager alla supervisione dell'implementazione, indipendentemente dall'area in cui iniziate. Assicuratevi inoltre di organizzare riunioni operative mensili con il vostro MSSP e revisioni aziendali trimestrali. Questo vi consentirà di pensare strategicamente a come costruire un rapporto di lavoro produttivo e di identificare nuove aree di miglioramento del servizio e del suo valore complessivo.

DOMANDE FREQUENTI