Autore: Redazione SecurityOpenLab
Quando si parla di cybersecurity e dei continui attacchi di cui ormai giornalmente leggiamo sui media, erroneamente si tende a pensare che i principali target degli hacker o attori criminali siano le imprese di grandi dimensioni. Al contrario, le piccole e medie imprese sono esposte allo stesso modo al rischio di subire attacchi potenzialmente devastanti per il loro business.
Sono, infatti, proprio queste ultime a dover considerare un servizio MSSP, sia con approccio tattico sia con approccio strategico, e le motivazioni sono molteplici. Innanzitutto, per ridurre i costi: un servizio MSSP riesce a proporre tecnologie e personale esperto a un costo nettamente inferiore rispetto all’ammontare necessario per acquisire tutto internamente. Si pensi, ad esempio, ai costi di personale, hardware, licenze software, facility, servizio 24/7.
Va poi considerata la necessità di estendere i propri team di sicurezza con personale esperto e specializzato: soprattutto nelle piccole e medie imprese è facile che il personale interno responsabile della sicurezza IT svolga più ruoli e sia oberato di lavoro, tra la gestione quotidiana dell'operatività e i progetti.
Un servizio MSSP può ridurre il carico di lavoro dei team interni per permettere loro di focalizzarsi su progetti strategici per la sicurezza e far sì che il monitoraggio e la gestione day-to-day della sicurezza siano affidati a personale specializzato. Oltretutto, in un mercato del lavoro in cui è davvero complicato assumere e trattenere esperti in cybersecurity, scegliere un servizio MSSP vuol dire eliminare un problema ulteriore.
Affidarsi a un servizio esterno significa, inoltre, ridurre il rischio di breach: avere a disposizione personale esperto, che garantisce un monitoraggio 24/7, e le giuste tecnologie da una parte aiuta a prevenire eventuali attacchi, dall’altra fornisce le capacità per rispondere in maniera rapida a un potenziale incidente e minimizzarne l’impatto, con chiari benefici per il business dell’azienda.
Infine, a favore della scelta di un servizio MSSP vi sono anche ragioni di compliance: la maggior parte delle aziende sono soggette a un gran numero di normative e regolamentazioni, che spesso richiedono l’implementazione e il monitoraggio di controlli di sicurezza a protezione dei dati ospitati e gestiti dalle stesse. Un servizio MSSP può essere d'aiuto nell'implementazione dei controlli, per raccogliere i dati, costruire i report necessari ed essere di supporto durante gli audit.
Nonostante i considerevoli investimenti iniziali necessari per costruire delle capability di sicurezza interne (personale, tecnologie, facility, processi, tempo), il vantaggio che ne consegue per l’azienda è quello di avere il pieno controllo sulla sicurezza della propria infrastruttura e dei propri servizi. Esistono infatti dei casi in cui, per la natura del business o per specifiche regolamentazioni del settore di appartenenza o ancora per l’alta sensibilità delle informazioni trattate (o anche per tutte e tre le ragioni insieme), la priorità dell'azienda in ambito sicurezza è minimizzare la possibile perdita o la fuoriuscita di informazioni o dati critici per la stessa.
Di conseguenza, adottare una strategia che miri a costruire internamente le capacità di individuare e rispondere a potenziali minacce consente di adattare perfettamente i team operativi alle esigenze di sicurezza dell’azienda, siano esse relative alla gestione dei dati e/o alla gestione dei processi.
La vasta offerta di servizi MSSP sul mercato impone una scelta razionale e mirata, per identificare un provider che sia di alto livello, ma anche adatto alle esigenze specifiche dell’azienda stessa. Tra i parametri da considerare, c’è sicuramente l’esperienza del provider nella industry di appartenenza, allo scopo di poter contare su una consolidata esperienza e conoscenza delle minacce che impattano quello specifico settore, ma anche dei controlli imposti dalle normative di riferimento.
Va tenuta in conto anche la capacità di adattare il servizio al contesto e alle esigenze dell’azienda in termini di tecnologie, business e processi. Un provider di alto livello dovrebbe, poi, far uso di tecnologie all'avanguardia, adatte a identificare e rilevare minacce conosciute e sconosciute. Infine va considerato il rispetto degli SLA (Service Level Agreement) di risposta a potenziali incidenti e processi di comunicazione.
Valutando la miriade di servizi e pacchetti di servizi offerti da provider MSSP, non bisogna dimenticare che l’obiettivo principale resta quello di poter far affidamento su un servizio che consenta di prevenire, rilevare e rispondere il prima possibile a un potenziale attacco, riducendo al minimo il rischio di un breach.
Sul mercato, dunque, la differenza la fanno i provider che possano dimostrare di saper tenere il passo con i trend delle minacce e con le evoluzioni dei criminali informatici, mantenendo un approccio proattivo nella difesa dei propri clienti.
Tre sono i servizi decisivi: il primo è il Threat Hunting, ovvero l’offerta di servizi di ricerca proattiva delle minacce all’interno dell’ecosistema del cliente; determinante è anche fare leva sul concetto di SOC Triad, la best practice in ambito di Threat Detection & Response che consiste nell’affiancare strumenti di correlazione log (SIEM) e protezione/visibilità su endpoint (EDR) con soluzioni di Network Detection & Response, per avere piena visibilità su ciò che accade alliinterno di tutti gli ambienti; infine, gioca un ruolo fondamentale l’automazione, cioè l’utilizzo di tecnologie di orchestrazione e automazione (come le tecnologie SOAR) per velocizzare le attività di risposta a una minaccia.