L'opinione di Westcon-Comstor

Risponde Dario Sergi, Services Manager di Westcon-Comstor Italy

Autore: Redazione SecurityOpenLab

Quali sono i clienti che possono trarre i maggiori benefici dalla sottoscrizione di un servizio MSSP e perché?

Garantire nell’era digitale la sicurezza dei processi e dei dati aziendali dalle moderne minacce informatiche richiede la gestione di strumenti complessi che richiedono una supervisione costante per garantirne l’efficacia.

Le postazioni di lavoro, i server, dispositivi mobili, periferiche connesse in rete, i servizi “cloud”, le reti stesse, i dispositivi di automazione e l’“Internet of things” devono essere monitorati perché ognuno di essi può essere strumento per penetrare all’interno del sistema informatico. Questo significa implementare differenti tecnologie di sicurezza volte al controllo delle differenti tipologie di sistemi.

Oltre a tenere sotto stretto controllo i sistemi di elaborazione e comunicazione componenti un sistema informativo, per garantire una adeguata sicurezza è indispensabile proteggere la risorsa più sensibile, l’essere umano. Gli attacchi informatici più evoluti utilizzano tecniche che sfruttano le debolezze degli utenti. Il successo degli attacchi di tipo “phishing” dimostra che la strategia di colpire l’anello più debole della catena di sicurezza spesso porta a identificare come bersaglio l’utente e non lo strumento informatico.

Per contrastare efficacemente le tecniche di attacco evolute è necessario monitorare i comportamenti delle componenti tecnologiche ed umane per identificare attività anomale o sospette in modo da intervenire prima che l’attacco sia giunto a conclusione con i danni conseguenti. L’efficacia dei moderni sistemi di sicurezza dipende fortemente dall’integrazione degli stessi in modo da avere accesso a tutte le informazioni utili a identificare le potenziali minacce in modo centralizzato.

L’integrazione di differenti sistemi di sicurezza richiede l’utilizzo di piattaforme SIEM (Security Information and Event Management) per normalizzare, aggregare e correlare l’elevato volume di eventi raccolti e generare gli allarmi di sicurezza utili a bloccare le minacce informatiche. I sistemi SIEM possono generare un volume elevato di allarmi che devono essere gestiti sistematicamente per garantire un adeguato livello di sicurezza. Serve quindi dotarsi di un congruo numero di analisti esperti con i conseguenti costi e la difficoltà di reperire sul mercato le figure professionali necessarie.

Le soluzioni SOAR (Security Orchestration, Automation and Response) sono nate per supportare il personale impegnato nella supervisione dell’infrastruttura di sicurezza permettendo ad un numero limitato di analisti di gestire efficacemente volumi elevati di eventi di sicurezza.

Ogni organizzazione utilizzante una infrastruttura informatica dovrebbe dotarsi di una infrastruttura di sicurezza simile a quella descritta precedentemente. Nel mondo reale l’implementazione di soluzioni di sicurezza deve essere commisurata agli effettivi rischi a cui l’organizzazione è esposta e devono essere economicamente compatibili con il contesto operativo.

Oggi ci troviamo di fronte ad un grave dilemma: le organizzazioni devono dotarsi di sistemi di sicurezza avanzati perché i rischi a cui sono esposte sono aumentati drammaticamente ma i costi non sono sempre compatibili con il contesto finanziario.

In quali casi e perché è meglio investire in risorse interne?

Nella realtà italiana, solo le organizzazioni medio-grandi hanno le risorse economico-organizzative adeguate ad investire in infrastrutture di sicurezza evolute. Gli altri tipicamente si affidano a soluzioni più “tradizionali” che però non garantiscono un adeguato livello di sicurezza, ne è un indicatore l’incremento di incidenti riscontrato negli ultimi 2-3 anni sia a carico di realtà importanti che di piccole e medie aziende.

Una alternativa, per non rischiare gravi incidenti o dover sostenere costi assicurativi per coprire i rischi non gestiti, è quella di rivolgersi a fornitori per usufruire di servizi di sicurezza gestita di alto livello.

L’approccio MSSP (Managed Security Service Provider) consente ad una organizzazione di poter accedere a soluzioni e servizi di sicurezza evoluta condividendone i costi con gli altri clienti del “provider”.

L’utilizzo di servizi MSSP è vantaggioso a patto che siano rispettate alcune condizioni:

  • L’organizzazione non ha caratteristiche così peculiari da richiedere personalizzazioni spinte dei servizi di sicurezza forniti.
  • Gli standard di sicurezza ed i livelli di servizio garantiti dal fornitore MSSP sono compatibili con le necessità dell’organizzazione.
  • Le normative e gli obblighi di sicurezza consentono a soggetti terzi di accedere ai sistemi informativi dell’organizzazione.
  • La dimensione dell’organizzazione è tale che il costo del servizio MSSP è comparabile con i costi di realizzazione di una struttura interna.

Quali sono i servizi a valore che fanno la differenza nel complesso mercato MSSP?

Identificare il servizio MSSP più adeguato richiede di valutare oltre al prezzo un ampio spettro di aspetti che possono essere rilevanti per l’organizzazione:

  • Copertura oraria del servizio.
  • Capacità di intervenire sull’infrastruttura IT in caso di violazioni di sicurezza.
  • Estensione del monitoraggio: limitato alle postazioni di lavoro oppure esteso alla rete ed a tutti i dispositivi connessi, compresi servizi cloud o di tipo SAAS.
  • Servizi accessori come connettività sicura per utenti mobili ed accesso remoto alle risorse aziendali.
  • Disponibilità di servizi di “Proactive Threat intelligence” capaci di anticipare le minacce agendo preventivamente sui sistemi di sicurezza.
  • Gestione delle minacce anche in ambito di automazione industriale e/o Internet of Things.
  • Capacità di documentare adeguatamente il livello di sicurezza garantito dal servizio e suggerire miglioramenti dello stesso.
  • Capacità di supportare il cliente nella definizione ed attuazione di piani di “disaster recovery” e di gestione emergenza post-intrusione.
  • Integrazione del servizio di sicurezza nei processi operativi dell’organizzazione.
  • Capacità di analisi forense.

Westcon Group distribuisce una serie di soluzioni specifiche per l’implementazione di architetture di sicurezza informatica avanzate sia per chi le gestisce internamente sia per chi fornisce servizi di tipo MSSP.

Segnaliamo i produttori più rilevanti: Palo Alto Networks, Crowdstrike, F5 Networks, Sumo Logic, Anomali, Firemon.