Anche le aziende con maggiori risorse da investire in cybersecurity sono vittime di attacchi mirati: tutti ne siamo diventati ancor più consapevoli con le vicende degli ultimi giorni. Investire in soluzioni più avanzate diventa realmente efficace, solo quando queste sono affiancate da un team di esperti in cybersicurezza. Scopriamo perché.

I reparti di sicurezza IT aziendale, ad oggi, possono prevenire gli attacchi da minacce note con piattaforme tradizionali come endpoint protection e firewall. Quando si tratta invece di attacchi avanzati, per rilevarli in modo automatico, i CISO e il loro team si avvalgono spesso di sistemi di Endpoint Detection and Response.

Con il passare del tempo e l’incremento degli attacchi mirati, è diventato chiaro che l’intelligenza artificiale presente nelle soluzioni avanzate, con i suoi algoritmi e meccanismi di rilevamento e analisi automatici, per quanto evoluti possano essere, non è ancora sufficiente a far fronte alle azioni del nemico.

Secondo l’indagine “IT Security Risks” di Kaspersky il 28% delle aziende che ha implementato una soluzione Endpoint Detection and Response è stata in grado di rilevare gli attacchi informatici in poche ore o, in alcuni casi, subito dopo l’incidente. Il rilevamento tempestivo è fondamentale per ridurre il tempo di permanenza dei criminali informatici nei sistemi aziendali e, di conseguenza, mitigare danni e perdite derivanti da un attacco informatico.

Per alcuni intervistati, tuttavia, la soluzione EDR non sembra essere di aiuto per ridurre il “tempo di permanenza” di un attacco. Quali sono le cause?

 

Perché una soluzione EDR non è sempre efficace

Come riportato nell’indagine di Kaspersky, una soluzione EDR:

  • consente maggiori probabilità di scoperta, maggiore visibilità dell’infrastruttura endpoint, un’analisi semplificata delle cause alla base dell’attacco, la threat hunting e la risposta rapida agli incidenti.
  • Allo stesso tempo, automatizza i compiti di routine degli analisti.

Perché allora per alcune aziende l’EDR non risulta efficace nella rilevazione e risposta agli attacchi informatici?

Secondo lo studio State of Endpoint Security Risk del Ponemon Institute, il 61% delle aziende soffre la mancanza di personale competente all’interno dell’azienda che supporti e gestisca uno strumento di protezione avanzato come l’EDR. 

Ottieni il massimo dalla soluzione EDR

Scopri come fare nel nostro webinar

Le competenze mancanti vanno ad influire in particolare su due tipi di attività:

1)      Gestire gli alert: l’analisi dei dati

Una soluzione di Endpoint Detection invia numerose notifiche su possibili attività sospette. Senza un analista di sicurezza in grado di indagare e prendere decisioni in merito alla pericolosità delle azioni, l’azienda rischia di rimanere bloccata dal numero degli alert, che possono rivelarsi falsi positivi, oppure di lasciarsi sfuggire degli avvisi importanti.

2)      Rispondere agli incidenti: mettere in pratica le raccomandazioni

Quando si verifica un incidente di sicurezza, gli esperti che offrono la soluzione EDR inviano un report sull’incidente e una lista di raccomandazioni con le attività di risposta.

Il contenuto di queste raccomandazioni può essere altamente tecnico, non sempre chiaro e praticabile, e così per l’azienda risulta spesso impossibile organizzare e fornire una risposta tempestiva ed efficace all’incidente.

Ecco perché la tecnologia EDR può risultare inefficace. Le risorse presenti in azienda spesso non sono sufficienti o specializzate e in grado di eseguire l’indagine, le attività di forensic analysis e le azioni che richiedono l’intervento umano in maniera coordinata e contestualizzata alla realtà del cliente. Senza le giuste competenze interne per gestire incidenti complessi, non si sarà in grado di ottenere i risultati desiderati.

 

EDR: il fattore umano

Una soluzione EDR sarà efficace ed acquisirà tanto più valore quante sono le competenze in sicurezza IT di chi la gestisce. Senza un valido SOC a sostegno, l’EDR rischia di essere un fallimento.

Oggi per le aziende è sempre più difficile dotarsi di un team di esperti di sicurezza IT interno e garantirgli adeguata formazione. Nello specifico, perché risulta particolarmente problematico reperire professionisti qualificati: secondo Kaspersky il numero di posizioni aperte nel settore della cybersecurity è aumentato del 38,9% rispetto allo scorso anno.

L’alternativa è affidarsi a dei professionisti di sicurezza IT esterni, che affianchino l’azienda nell’attuare la strategia di security. In questo modo l’azienda ottiene i vantaggi di un SOC, senza doverne creare uno.

Matika, in qualità di Managed Service Provider, offre un Security Operation Center che gestisce in outsourcing soluzioni per la sicurezza informatica aziendale.

Scegliendo il SOC Matika per gestire una soluzione EDR:

 

  1. Si disporrà di esperti in grado di analizzare e indagare tattiche, tecniche e procedure utilizzate dagli attaccanti di tutto il mondo (basato sulla Knowledge Base Mitre Att&ck) e automatizzare il processo di threat hunting impostando indicatori di attacco IoA per controllare le attività post-compromissione.
  2. Si sarà in grado di rispondere prontamente agli incidenti di sicurezza in modo centralizzato tramite le funzionalità dell’agente EDR oppure lanciare l’incident response in modo automatico da remoto.

Scopri i vantaggi dell’EDR gestito

Matika per la sicurezza sceglie Kasperky
Share This