L’analisi e il monitoraggio costante dell’intera infrastruttura IT aziendale consentono di essere proattivi negli interventi e rispondere tempestivamente agli attacchi bloccandoli sul nascere, prima che possano provocare danni.
Cos’è e come funziona il servizio di Managed Detection e Response
Gli attacchi cyber sono sempre più frequenti, impattanti e difficili da prevenire, tanto che per i manager IT e gli addetti alla cyber security diventa sempre più difficile intercettarli e bloccarli.
L’MDR – Managed Detection e Response – è la soluzione: un insieme di tecnologie evolute e un servizio di analisi/pronto intervento in modalità h24x7x365.
Managed Detection e Response: tre semplici parole che possono fare la differenza
- Managed:i servizi di sicurezza sono organizzati in una piattaforma gestita in outsourcing. Una soluzione tecnologica che, con il supporto dell’intelligenza artificiale e del machine learning, è in grado di acquisire tutte le informazioni necessarie dai dispositivi dell’infrastruttura IT (PC, server, apparati di rete, firewall, fonti deep-dark web, cloud…) e verificarle mettendole in relazione agli eventi. Non si tratta esclusivamente di servizi automatizzati, ma sono gestiti anche da una parte umana, il SOC: degli ethical hackers specializzati che investigano le anomalie nella sicurezza.
- Detection:analisi dell’infrastruttura IT h24x7x365, in modo da intercettare tempestivamente le anomalie, reagire in tempo reale e ridurre al minimo i falsi positivi. Le azioni arrivano congiuntamente da due fronti: da automatismi forniti dalla strumentazione tecnologica e, nei casi più complessi, da interventi da parte del Security Operations Center.
- Response:la fase umana del servizio, gestita dal SOC che si mette in contatto con l’azienda per segnalare incidenti e anomalie e si occupa attivamente del contenimento dell’attacco e della fase di risposta, ovvero mettendo in atto una soluzione al problema nel minor tempo possibile per permettere la prosecuzione dell’operatività.
Il servizio MDR si compone di due parti:
- Difesa interna dell’azienda
- Difesa esterna dell’azienda.
Cyber Security interna
Monitoraggio continuo degli asset aziendali presenti all’interno del perimetro fisico e logico dell’azienda (server, pc, firewall e altri devices) e analisi in tempo reale degli eventi con l’ausilio di motori di Intelligenza Artificiale e Machine Learning, per ridurre al minimo i falsi positivi. Viene condotto attraverso due servizi:
- Sistema XDR – Extended Detection & Response: insieme di componenti software e hardware che hanno il compito di Intercettare e monitorare gli eventi/logs da più fonti all’interno dei sistemi aziendali. Forniscono una prima difesa automatizzata agli attacchi rilevati e trasmettono le informazioni raccolte al centro operativo, sede del SOC.
- Security Operations Center – SOC: la parte preposta alla gestione degli eventi di sicurezza. Un servizio h24 erogato da un team di specialisti che analizzano ed investigano gli allarmi che provengono dalla rete aziendale. In caso di attacco, attivano le procedure di risposta all’incidente, contattando l’azienda e fornendo il supporto necessario a contenere l’attacco e predisporre le azioni correttive necessarie.
Cyber Security esterna
La Cyber Intelligence analizza il deep e dark web in cerca di informazioni e dati aziendali sensibili quali email, informazioni di data-breach, dati personali, ecc., informazioni che potrebbero essere utilizzate da criminali informatici per scatenare un attacco. Le attività di cyber security esterna consentono di valutare l’esposizione al rischio dell’azienda e sono:
- Analisi Deep & Dark Web: Ricerca informazioni sensibili sul cliente
- Domini Clone: Verifica presenza di domini clone utilizzati per attacchi e frodi
- Informazioni Data Breach: Verifica e prevenzione fuoriuscita informazioni email e credenziali
- Informazioni Data Leakage: Verifica e prevenzione fuoriuscita dati aziendali.
