Oggi come oggi, sono molti a chiedersi come fare a scegliere il miglior MSSP.
I Managed Security Service Provider, infatti, sono diventati una opzione sempre più diffusa tra le organizzazioni che vogliono migliorare la propria sicurezza. Secondo il report ITSE di Kaspersky del 2022, la maggior parte delle aziende cerca nei fornitori una maggiore efficienza e conoscenze specifiche. Poiché questi partner si assumono responsabilità molto importanti, è fondamentale sceglierli con particolare attenzione.
Roman Nazarov, SOC Consulting Expert di Kaspersky, condivide alcuni consigli su come scegliere il miglior MSSP.
Buona lettura.
Il report “IT Security Economics 2022” di Kaspersky ha rivelato che il 65% dei decision maker IT sceglie di affidare alcune attività in outsourcing agli MSSP (o ai loro omologhi Managed Security Provider, che si occupano di IT in generale piuttosto che di cybersecurity) per l’efficienza che possono garantire nella gestione delle soluzioni di cybersecurity. Tra le altre motivazioni principali vengono indicate la necessità di conoscenze specifiche (rilevante per il 51% delle aziende) e la carenza di risorse (50%).
Per proteggere l’azienda, gli MSSP devono avere una comprovata esperienza e assumersi la responsabilità di eventuali lacune che potrebbero causare incidenti. L’azienda si affida a loro per la sicurezza totale e se il partner fallisce, la reputazione e i processi sono a rischio.
Cinque consigli su come scegliere il miglior MSSP
- Cercare competenze ed esperienze su misura
Quando si sceglie un MSSP, si deve considerare l’esperienza del potenziale partner con altre aziende nella regione e nel settore in cui si opera, oppure scegliere un operatore con competenze a livello mondiale. Inoltre, è importante verificare da quanto tempo il fornitore è presente nel settore: di solito è più facile trovarne uno riconosciuto piuttosto che sceglierne uno emergente. Un altro aspetto importante è il team: assicurarsi che l’MSSP abbia risorse qualificate con la formazione richiesta e certificazioni riconosciute a livello mondiale.
È fondamentale verificare se un MSSP dispone di capacità di ricerca, che possono essere misurate in base al numero e all’approfondimento delle ricerche relative a nuovi gruppi APT, strumenti, tecniche e indagini. Una solida esperienza contribuirà a fornire alti livelli di rilevamento e identificazione delle minacce. Questo contribuisce a prevenire gli incidenti o a ridurre al minimo le conseguenze nel caso in cui si verifichino.
- Considerare la tecnologia dell’MSSP: è una soluzione aziendale o uno strumento proprietario?
Assicurarsi che l’MSSP utilizzi la tecnologia e gli strumenti giusti per garantire una reale sicurezza per la vostra azienda. Ad esempio, un MSSP che si concentra sulla protezione di Windows non è adatto a un ambiente basato su Unix.
Nella maggior parte dei casi, gli MSSP possono essere suddivisi in due grandi gruppi: i primi utilizzano soluzioni aziendali ben note (che possono essere acquistate da qualsiasi azienda dai relativi fornitori), mentre gli atri impiegano strumenti sviluppati autonomamente o open source con personalizzazioni. La scelta dipende da diversi fattori, tra cui la compatibilità con le proprie tecnologie, la capacità di trasformarsi in un SOC interno, il valore alla scadenza del contratto e altri ancora.
- Definire gli SLA (Service Level Agreement) e le metriche
Considerare quali metriche si intende utilizzare per misurare l’efficacia di un provider e come queste saranno tracciate e calcolate. Le metriche più diffuse per gli MSSP sono il tempo di reazione e di intervento. Quest’ultimo è qualificato in modi diversi dai provider, a partire dal momento in cui sono state fornite le informazioni iniziali per la mitigazione, fino al completamento della fase di contenimento del ciclo di vita della gestione degli incidenti. Tuttavia, possono esistere altri indicatori, adattati in modo specifico alle singole esigenze. Ad esempio, se un’azienda punta a crescere rapidamente, il tempo di attivazione di nuovi asset sarà importante. È inoltre fondamentale stabilire degli obiettivi per gli SLA (Service Level Agreement) che possono essere forniti dal provider.
- Valutare la sicurezza dell’ambiente del provider
Il fornitore presta attenzione alle misure di sicurezza, come le procedure di cybersecurity e le valutazioni periodiche da parte di esperti esterni?
Dal momento che la mancanza di risorse disponibili è frequente, nella ricerca del profitto gli MSSP possono trascurare gli investimenti per la propria sicurezza a favore della gestione di un maggior numero di contratti commerciali. Tenendo presente che l’MSSP diventerà parte del panorama delle minacce e un potenziale vettore di attacchi, questo aspetto deve essere controllato se non si vuole diminuire la propria protezione.
- Decidere se si desidera suddividere il servizio tra più fornitori
Questo aspetto deve essere stabilito nella fase iniziale di pianificazione. È opportuno suddividere i servizi tra più fornitori? Da un lato è utile scegliere il miglior fornitore per servizi specifici, dall’altro si può beneficiare della sinergia di quelli in bundle forniti dallo stesso provider. Ad esempio, avere i servizi di monitoraggio e DFIR della stessa azienda avrà un effetto positivo perché i team possono scambiarsi informazioni storiche sugli incidenti e sugli IoC.
Acquistando servizio per la difesa, è importante non dimenticare la valutazione per gli attacchi, e verificare le condizioni contrattuali per condurre red teaming, pen test o cyber range. Qualsiasi tipo di valutazione sarà utile per dimostrare il valore degli MSS e formare il vostro team.
