[ AGGIORNATO IL 30/11/23 - La Guida al mercato di Gartner non è più disponibile per il download]
Nel suo rapporto di luglio, Hype Cycle for Security Operations 2022, Gartner ha convalidato la posizione adottata da Vectra AI qualche tempo fa: La tecnologia NDR (Network Detection and Response) dovrebbe essere una soluzione prioritaria per i team di sicurezza aziendali.
Vectra ne è consapevole da tempo, ma è bello vedere che la saggezza convenzionale si è finalmente aggiornata.
Gli influencer e i decision maker del settore tecnologico si accaniscono sempre sui rapporti del Gartner Hype Cycle. Questi autorevoli rapporti proclamano quali categorie sono in ascesa, quali hanno raggiunto il picco massimo e quali rimangono improbabili nonostante il clamore sufficiente per godere di un'adozione di massa, ma sono destinate a morire per l'esposizione in cima al "picco delle aspettative gonfiate" o a morire nel "baratro della disillusione".
NDR, conclude Gartner, è sfuggita a entrambi i destini e, mentre scrivo, sta risalendo la "china dell'illuminazione".
Perché? Citiamo dal rapporto:
"Quando si considera la roadmap delle tecnologie e delle capacità per le operazioni di sicurezza, è necessario concentrarsi sulla prioritizzazione dei problemi scoperti per garantire che il programma di operazioni di sicurezza si allinei alla superficie di attacco specifica e dinamica. Allo stesso tempo, tutto questo deve allinearsi alle moderne architetture IT"¹.
In parole povere in stile Vectra: I domini di rete non sono mai stati così distribuiti e frammentati e il panorama delle minacce, dal data center al cloud , non è mai stato così ricco e pieno di incognite. Con la rapida adozione di soluzioni ibride e cloud, non ci sono mai stati così tanti vettori di attacco. Oggi non è possibile esaminare ogni anomalia: ce ne sono troppe e la maggior parte sono benigne. Pertanto, è opportuno dare priorità ed elevare le minacce reali, indipendentemente dalla loro origine o dal modo in cui si sviluppano. Ecco lapiattaforma"Vectra Threat Detection and Response (TDR)".
Un investimento di sicurezza a basso rischio e alto rendimento
I tempi sono maturi per una piattaforma di sicurezza più moderna per il rilevamento e la risposta alle minacce che riduca al minimo l'esposizione al rischio, che vada oltre la sorveglianza per prevedere i comportamenti anomali del sistema, in parte applicando l'analisi comportamentale ai dati di rete, cloud e identità.
In questo contesto, secondo Gartner, l'NDR è un investimento a basso rischio e alto rendimento per i team operativi di sicurezza. È un complemento agli strumenti di sicurezza tradizionali, solitari e preventivi, che sono meno efficaci nell'attuale ambiente delle minacce.
È diventato sempre più difficile monitorare il traffico e lo stato di salute della rete tra le strutture on-premise e il cloud. Il giusto NDR affronta questa lacuna; il giusto NDR sfrutta l'apprendimento automatico per rilevare le minacce che non vengono rilevate da altre tecnologie; il giusto NDR non ostacola il traffico di rete legittimo; il giusto NDR non diventa un "ostacolo" per l'efficienza organizzativa.
L'opinione di Gartner sulla NDR convalida l'approccio di Vectra (TDR)
Vectra TDR (che comprende NDR, CDR e ITDR) si concentra su quanto segue:
- Allineare le soluzioni ai requisiti del cliente per la copertura della superficie di attacco, sapendo che le superfici di attacco sono in continua espansione e includono ora il cloud pubblico, il SaaS, l'identità e i domini di rete;
- Dare priorità e chiarire le minacce più critiche dal vasto mare di anomalie che contano di più per le aziende;
- Ridurre la complessità del carico di lavoro per i team SOC integrando gli strumenti e automatizzando i processi in modo che gli analisti operino al meglio (senza esaurirsi);
- Offrendo maggiore visibilità e controllo, i team di sicurezza vedono e bloccano gli attacchi con meno lavoro, meno strumenti e meno tempo.
Le valutazioni di Gartner sulle tecnologie di sicurezza sono in linea con la strategia della piattaforma di rilevamento e risposta alle minacce (TDR) di Vectra.
In effetti, il rapporto Hype Cycle for Security Operations evidenzia ulteriori tecnologie e servizi oltre all'NDR, che la piattaforma TDR di Vectra già include MDR (Managed Detection and Response) e ITDR (Identity Threat Detection and Response), insieme a OT Security, Breach and Attack Simulation, Digital Forensics and Incident Response, Vulnerability Prioritization Technology e Digital Risk Protection Services. Tutte priorità per i responsabili delle decisioni aziendali in materia di sicurezza; tutti aspetti contenuti nella proposta di valore totale di Vectra.
Acquistare risultati di business, non tecnologie
Sebbene sia certamente piacevole vedere che Gartner si occupa delle tecnologie Vectra di base con tanta approvazione, permettetemi di concludere con una raccomandazione che, a prima vista, potrebbe sembrare contraddittoria: Concentrarsi sui risultati, non sulle tecnologie.
Considerate i fattori che Gartner delinea per l'MDR, tutti relativi a risultati apprezzati:
- Conformità: garantire che l'organizzazione disponga del necessario monitoraggio e rilevamento delle minacce;
- Copertura: fornisce un rilevamento delle minacce ad alta fedeltà e la copertura di un'ampia gamma di fonti di dati, tecnologie e piattaforme SaaS;
- Contenimento: avviare misure per il contenimento attivo o l'interruzione di una minaccia;
- Controlli: fornire capacità di gestione dell'esposizione, di risposta agli incidenti e di gestione del rischio;
- Riduzione della complessità: implementazione di una soluzione "chiavi in mano" per chi non può costruire e mantenere una capacità interna o richiede una capacità rapida.
Le implementazioni tecnologiche sbagliate, o perlomeno imperfette, sono da sempre fonte di problemi di sicurezza nel settore privato. Oltre a risolvere i problemi a breve termine, l'acquisto di soluzioni di sicurezza à la carte e l'accatastamento delle stesse crea solo attriti e incompatibilità. Se un'organizzazione investe pesantemente in tecnologie come EDR e SIEM, ma implementa parallelamente soluzioni NDR o MDR incompatibili, il risultato può essere l'opposto di quello desiderato: costoso e dirompente.
I clienti più esigenti dovrebbero rivolgersi a un fornitore che offra strumenti tarati per produrre risultati specifici e desiderati, in armonia con il panorama esistente. Un fornitore di questo tipo offre più di un semplice NDR: servizi MDR incentrati su franchezza, trasparenza e canali di comunicazione aperti con gli analisti e i team di consegna. Cercate indizi sull'atteggiamento del fornitore nella progettazione dell'interfaccia utente del prodotto: più è empatica e intuitiva, meglio è.
Questo atteggiamento aperto e focalizzato sui risultati spinge tecnologie importanti come la NDR sulla "Pendenza dell'Illuminismo" e la MDR nel "Mainstream iniziale", mentre altre non riescono a raggiungere il loro potenziale.
Nel suo rapporto, Gartner presenta motivi convincenti per cui ogni CISO aziendale dovrebbe prendere in considerazione l'adozione di NDR e di MDR. Vectra ha i precedenti, l'attitudine e la cultura per differenziare la sua particolare proposta NDR + MDR.
Secondo Gartner, oggi l'NDR sta "risalendo la china" verso lo status di mainstream. Naturalmente, ben prima che Gartner proclamasse il verdetto dell'Hype Cycle, Vectra aveva riposto piena fiducia nell'NDR, un approccio giustificato da risultati reali di successo.
Ora che Gartner ha messo in giro la voce, un numero sempre maggiore di persone potrebbe avvicinarsi alla porta dell'NDR. Il compito è quello di scegliere l'NDR giusto, con i giusti servizi MDR a supporto.
----
¹ Andrew Davies et al, "Hype Cycle for Security Operations, 2022", Gartner Group, 5 luglio 2022, pag. 5.