Autore: Redazione SecurityOpenLab
Abbiamo deciso di chiudere il 2021 con lo speciale “Dentro o fuori” perché è stato un leitmotiv di quest’anno, e probabilmente rappresenta il dilemma che pressoché tutte le aziende hanno dovuto risolvere: gestire la security in casa o affidarsi a un servizio gestito in esterno.
Lo scenario di partenza è ben noto: con il moltiplicarsi degli attacchi cyber le aziende sono state sommerse di alert: migliaia di segnalazioni di possibili threat che nessun essere umano può gestire con efficienza, in un’epoca in cui la velocità di risposta è direttamente proporzionale alle chance di circoscrivere i danni e uscire più o meno indenni dalla situazione di crisi.
I cyber criminali hanno affinato i propri arsenali mettendo a punto tecniche di attacco fileless, forti capacità di fare movimenti laterali e di permanere in rete senza essere individuati dagli strumenti tradizionali. Questo comporta che oggi, per monitorare efficientemente la rete, non è più sufficiente cercare minacce esplicite, bisogna analizzare ogni attività, anche quelle ordinarie, alla ricerca continua di una qualsiasi anomalia che possa segnalare un’intrusione. È un lavoro che gli strumenti automatizzati possono svolgere fino a un certo punto, poi deve necessariamente subentrare l’essere umano.
A rendere il tutto più difficoltoso c’è il fatto che gli attaccanti non fanno orario d’ufficio. Anzi, aspettano intenzionalmente le festività, i fine settimana, le notti, per sferrare gli attacchi quando i sistemi sono tradizionalmente poco presidiati.
Gestire l’intreccio di queste situazioni richiede forti investimenti sia in strumenti che, soprattutto, in persone. Non tutti dispongono della disponibilità finanziaria adeguata. Anche perché è ormai chiaro che un solo specialista non basta. E che l’acquisto di una suite adeguata per la cybersecurity è più o meno alla portata di tutti, ma senza il personale che ha la giusta preparazione per gestirla non si andrà molto lontano.
E visto che tutti, senza nessuna eccezione, sono già sotto attacco o lo saranno a breve, la cybersecurity non può più essere esclusiva di chi ha budget elevati da stanziare. Il riferimento è ovviamente alle PMI, che sono la colonna dorsale del tessuto produttivo italiano. Ma anche alle aziende medio grandi, fra cui pochissime in Italia possono permettersi un SOC con una gestione interna del 100% delle attività di security.
L’urgenza di allestire una difesa cyber efficace ha portato alla nascita dell’offerta degli MSSP. Tutti gli esperti di sicurezza che abbiamo intervistato per questo speciale concordano sul fatto che i principali vantaggi offerti da un servizio gestito sono la riduzione dei costi, la riduzione del carico di lavoro dei team interni, la riduzione del rischio di breach, il rispetto della compliance.
La maggior parte dei punti esposti sopra è da riallacciare al fatto che gli MSSP offrono di fatto gli strumenti più avanzati di cui un SOC possa disporre, sempre aggiornati. Personale altamente qualificato, aggiornato e competente. Il tutto mediato da un’offerta altamente scalabile che è cucita sulla dimensione e le necessità dell’azienda cliente: anche le PMI possono quindi accedere a un livello di security adeguato.
Oltre alle PMI, anche le aziende più grandi possono trarre un altro beneficio da un servizio gestito: la copertura H24 per 365 giorni all’anno, che è la chiave di volta per ridurre il rischio di breach e per rispondere agli incidenti cyber nei tempi più brevi possibili, anche fuori dagli orari d’ufficio.
In realtà, avere o meno bisogno di un servizio gestito di security è solo il primo passo da compiere, ed è quello più semplice. La parte difficile arriva quando c’è la volontà di sottoscriverne uno, e bisogna scegliere quale. L’offerta cresce di continuo e districarsi fra le opzioni è tutt’altro che semplice. È per questo che la domanda più importante che abbiamo posto agli esperti di cyber security è Quali caratteristiche e condizioni deve avere un servizio MSSP per essere considerato di alto livello?.
Il prezzo è la punta dell’iceberg ed è solo un elemento di un’equazione molto complessa. Le risposte che gli esperti ci hanno fornito per questo speciale contengono tutto ciò che è lecito pretendere, e che è perlomeno da verificare prima di sottoscrivere qualsiasi contratto. Dall’approccio proattivo alla copertura oraria del servizio, dal tipo di monitoraggio della rete alla threat intelligence, per arrivare al disaster recovery e all’analisi forense.
Nulla, nell’attuale panorama di rischio cyber, può essere lasciato al caso, perché quando si ha bisogno di qualcosa a cui non si aveva pensato, in genere è troppo tardi.