Con il moltiplicarsi degli attacchi informatici, sono sempre di più le aziende che adottano soluzioni di Managed Detection and Response (MDR) auspicando in una protezione efficace. Prendendo in prestito la definizione di Gartner, si tratta di "servizi di monitoraggio, rilevamento e risposta 24 ore su 24, 7 giorni su 7, che sfruttano una combinazione di tecnologie distribuite a livello di host e di rete, analisi avanzate, intelligence sulle minacce ed esperienza umana nell’indagine e nella risposta agli incidenti".

Quanto sono efficaci? Dare una risposta univoca è complesso, perché i fattori in gioco sono molti, in primis il prodotto che si usa per erogare il servizio. Kaspersky ha pubblicato il Managed Detection and Respose: Analyst Report che analizza i metadati anonimi forniti volontariamente dai clienti della sua soluzione MDR nell'ultimo trimestre 2020.

Tenuto conto che è un report su un prodotto specifico, quindi non generalizzabile, fornisce comunque informazioni interessanti. Complessivamente, un incidente di cybersecurity su 10 bloccati potrebbe causare gravi interruzioni o accessi non autorizzati alle risorse. La maggior parte degli incidenti bloccati (72%) era di media gravità. Significa che se le minacce non fossero state rilevate, avrebbero influito sulle risorse o causato l'uso improprio di dati.

Nel periodo analizzato quasi tutti i settori, ad eccezione di media e trasporti, hanno registrato incidenti di elevata gravità. Il 41 percento degli incidenti critici ha colpito aziende del settore pubblico, il 15% ha interessato quelle IT e il 13% le imprese in ambito finanziario.

Entrando nello specifico del tipo di evento, il 30 percento degli incidenti critici era relativo ad attacchi mirati causati dall'uomo. Il 23% è stato classificato come epidemia di malware ad alto impatto, compresi i ransomware. Nel 9% di questi casi, gli attaccanti hanno ottenuto accesso all'infrastruttura IT aziendale utilizzando tecniche di social engineering.

I casi più gravi chiamano in causa gli APT, ossia i gruppi sponsorizzati da stati-nazione. In questo frangente emergono due dati interessanti. Il primo è che gli APT sono stati rilevati insieme ad artefatti di precedenti attacchi avanzati. In pratica, significa che quando un'azienda risponde a una minaccia sofisticata, viene spesso attaccata una seconda volta, probabilmente dallo stesso threat actor.

Il secondo dato è che nelle aziende vittime di APT gli esperti hanno osservato segni di simulazione del comportamento di un avversario, come il red teaming, o una valutazione delle capacità di sicurezza operativa di un'azienda attraverso una sofisticata simulazione di attacco.