Scegliere una soluzione per la protezione degli endpoint o un MSP a cui affidare in esterno la cybersecurity della propria azienda non è un compito semplice. Ecco alcune indicazioni che possono essere di aiuto nel processo decisionale.
Autore: Denis Valter Cassinerio
Nella scelta della soluzione ideale per la sicurezza degli endpoint, fonti come le community Reddit o Spiceworks, potrebbero essere le prime da consultare per ottenere feedback da altri colleghi MSP o raccomandazioni utili dai report delle società di ricerca. Tuttavia, se da un lato questi siti web raccolgono informazioni su chi ha già adottato le singole soluzioni, dall’altro non analizzano le caratteristiche uniche di ogni MSP, tra cui le dimensioni del team, le competenze acquisite e la tipologia di clienti supportata, che svolgono invece un ruolo centrale nell’individuazione della migliore soluzione di endpoint detection and response (EDR) e di managed detection and response (MDR).
Questa valutazione, per essere maggiormente efficace, dovrebbe toccare alcuni fattori chiave:
Le soluzioni EDR tradizionali richiedono un'integrazione aggiuntiva per ottenere una protezione adeguata che a sua volta necessita l’intervento di esperti qualificati. Unire EDR e altri strumenti di sicurezza è infatti un'operazione laboriosa e soggetta a errori umani che possono portare a lacune nella sicurezza. E ovviamente, affrontare una multi-integrazione crea ulteriore complessità e ulteriori problemi di compatibilità. È dunque importante definire se l'EDR è integrato in modo nativo con altre soluzioni critiche e, in caso contrario, valutare se le integrazioni richieste miglioreranno la sicurezza o aumenteranno solo la complessità.
Le soluzioni EDR convenzionali richiedono anche molto tempo per essere implementate, fino a 90 giorni, e la configurazione iniziale è spesso così dispendiosa in termini di risorse da rendere persino difficile un equilibrio fra costi-dispendio di persone. Quando si deve scegliere dunque una soluzione EDR, va considerato il tempo medio di distribuzione, più un EDR è facile da distribuire, prima si vedrà un ritorno sull'investimento e prima l’MSP potrà proteggere più endpoint per più clienti.
I cyber-attaccanti non dormono mai, e questo rende la gestione degli avvisi EDR un lavoro 24 ore su 24, 7 giorni su 7. Ciò richiede tecnici in grado di gestire gli avvisi praticamente sempre. Ma se il team è composto da poche unità, questa necessità diventa una grande sfida. In tal caso esternalizzare la sicurezza degli endpoint a un servizio MDR è probabilmente l’opzione ottimale, aiutando ad alleviare il carico di lavoro e consentendo di concentrarsi su altri obiettivi, come il miglioramento della qualità del servizio.
La maggior parte delle soluzioni tradizionali EDR sono complesse e non sempre adatte per i service provider. È quindi importante valutare per primi i software progettati per gli MSP e perciò sviluppati anche per ridurre la barriera all'ingresso solitamente associata all'EDR.
Le funzionalità basate sull’AI, presenti in molti degli attuali prodotti EDR, possono semplificare ulteriormente le attività. Ad esempio, Acronis Advanced Security + EDR fornisce grazie a questa tecnologia riepiloghi degli attacchi per aiutare i tecnici a comprendere le minacce, risparmiando tempo e favorendo una risposta e una correzione rapide. Inoltre, l'intelligenza artificiale generativa può accelerare il processo decisionale fornendo insight sugli incidenti attraverso brevi note. Per esempio, Security Copilot in Acronis Advanced Security + XDR fornisce una funzione di chat assistita dalla GenAI in linguaggio naturale, utile a orientare le azioni di risposta dei tecnici.
La scelta della soluzione dipende anche dalla tipologia di azienda perché se si è nelle primissime fasi di sviluppo del business con un team di pochi tecnici, allora il sistema MDR può essere una strada da valutare così da esternalizzare la protezione degli endpoint a tempo pieno e liberare al contempo i tecnici per gestire attività più semplici. Si potrà così completare più attività, mantenere un organico snello e avere i clienti soddisfatti. Diversamente se si è in una fase di sviluppo, si può optare per usare un sistema MDR e EDR contemporaneamente, sfruttando l’MDR finché non si potrà contare su abbastanza clienti per ripagare un aumento di organico, e quando ciò avverrà, disattivare l’MDR e tornare all’EDR per un migliore controllo delle spese.
Alcune soluzioni prevedono una licenza perpetua basata su abbonamento e i prezzi a livelli che possono obbligare al pagamento di strumenti che magari non si utilizzano o al contrario possono non prevedere servizi come la manutenzione. Se si è attenti ai costi le offerte scalabili con il prezzo a consumo sono la scelta migliore dal momento che esigenze di sicurezza dei clienti cambiano continuamente man mano che i cybercriminali cambiano la loro attenzione e le loro tecniche.
Per concludere, è quindi importante non sottovalutare che a livello strategico gli MSP dovrebbero sfruttare sia le soluzioni EDR che MDR per bilanciare al meglio le risorse e gli obiettivi di crescita ma anche per offrire una protezione completa degli endpoint ai propri clienti e prepararsi a un'espansione futura e alle nuove richieste di servizi personalizzati.
Denis Valter Cassinerio è Senior Director & General Manager South EMEA di Acronis