I fornitori di servizi gestiti di sicurezza, o Managed Security Services (MSS) provider, hanno sempre ricevuto grande attenzione nel mercato per le numerose opportunità che offrono alle aziende. Come mostra la slide successiva (tratta dalla survey annuale di The Innovation Group, “Cyber Risk Management 2022”), il ricorso a società esterne specializzate nella cybersecurity risponde a una richiesta diffusa di skill specifici, oltre che dalla possibilità di dotarsi di monitoraggio delle infrastrutture 24×7.
L’unificazione e la convergenza delle soluzioni di cybersecurity sono uno degli altri motivi che spingono le aziende a cercare partner in grado di fornire soluzioni il più possibili complete per quanto riguarda gli aspetti di protezione, mitigazione, detection e risposta in caso di incidenti cyber.
I partner esterni possono in alcuni casi avere il controllo pieno dell’intero stack tecnologico della cybersecurity, oppure operare in modalità co-managed insieme allo staff interno dell’azienda. Tendenzialmente si occuperanno di tutte le attività operative, legate al funzionamento e alla configurazione degli strumenti, in modo da sollevare lo staff da aspetti a minore valore aggiunto. I provider MSS possono però mettere a disposizione anche servizi avanzati che vanno oltre al monitoraggio e all’amministrazione di accessi, firewall e intrusion detection. Oltre ad aggiornamenti e patch, i Managed Security provider possono infatti effettuare audit e security assessment, attività di penetration testing, threat intelligence, threat hunting, intervenire con tempestività in casi di emergenza e offrire servizi di digital forensic in caso di incidenti cyber subiti dai clienti.
Sul fronte dei costi, il servizio affidato a un fornitore esterno risulta di solito competitivo in termini di costi iniziali (up front), permettendo al cliente di dotarsi di competenze non presenti in azienda e di una sicurezza erogata come servizio, che evita l’acquisto una tantum di tecnologie. Non va sottostimato però l’investimento complessivo, considerando che da un lato si tratta di spese ricorrenti, dall’altro lato può aumentare nel tempo la dipendenza dal fornitore esterno via via che questi sarà sempre di più un partner di riferimento per la cybersecurity.
In termini di mercato, a livello globale il settore dei servizi gestiti di sicurezza (mercato MSS, managed security services) è tra i più favoriti dal contesto attuale, sulla spinta dei regolamenti sempre più stringenti in materia, dell’evoluzione delle minacce e della stessa esperienza delle aziende di gravi incidenti cyber, con perdita di dati personali o furto di intellectual property. Il mercato MSS valeva 21 miliardi di dollari nel 2020 con previsioni di crescita fino a 77 miliardi di dollari entro il 2030, con un tasso di crescita media nel periodo superiore al 14%.
Managed Security: i vantaggi dell’outsourcing
Considerando che gli attaccanti sono in grado di rinnovare costantemente le proprie tecniche e che le minacce cyber possono diventare sempre più dannose per il business, alcuni fattori fanno propendere decisamente verso i servizi gestiti di sicurezza. I punti di forza di questi sono infatti:
- Un monitoraggio continuativo 24 ore al giorno per 7 giorni su 7, 365 giorni all’anno: fondamentale, visto che gli attacchi iniziano sempre più spesso quando l’attenzione dello staff è meno forte, come nel week end, fuori dall’orario lavorativo o durante le feste.
- Le competenze avanzate, che permettono a un provider di questi servizi di “inseguire” le nuove tattiche sviluppate in continuazione dagli hacker, di sapere riconoscere nuove forme di attacco e sapere anche come rispondere al meglio in caso di incidente.
- Aiutare i clienti prevenire gli impatti più gravi di un eventuale breach: valutare insieme al cliente quali sono gli asset più critici da proteggere e come identificare la soluzione di sicurezza più opportuna. Supportare il cliente nell’adozione di una sicurezza matura, allineata con i bisogni del business e prontamente disponibile, in rispondenza a esigenze di compliance. Il panorama normativo è sempre più ampio e complesso, un provider può assistere il cliente nella raccolta di dati e nella generazione di report per esigenze di audit e compliance.
Come scegliere un partner di servizi di sicurezza gestiti, o Managed Security Services (MSS) provider
Quali sono invece i punti di attenzione per chi si rivolge a questi provider?
- Il primo è considerare che anche una terza parte può essere fonte di rischi: un data breach può infatti avere origine presso lo stesso fornitore di servizi di sicurezza. Come riportano le notizie, gli MSP sono sempre più spesso utilizzati dagli hacker per colpire in cascata tutti i loro clienti: di recente, le agenzie di 4 Paesi (Stati Uniti, Regno Unito, Canada e Australia) hanno avvertito le aziende sulla possibilità che ransomware e spionaggio cyber arrivino direttamente dai loro provider di servizi gestiti.
- In aggiunta, un provider esterno potrebbe non essere allineato perfettamente con i bisogni e la cultura dell’azienda, potrebbe avere (soprattutto se di nazionalità diversa) una propria modalità di concepire il risk management, gli standard da adottare, la rispondenza alle norme. In alcuni casi, gli MSP avranno adottato propri framework di sicurezza e questo potrebbe risultare nella scarsa flessibilità a rispondere a specifici bisogni dei clienti.
Da qui seguono alcune raccomandazioni su come scegliere un “buon partner” per i servizi di sicurezza gestita: quello che si consiglia tipicamente è selezionare il fornitore in base a
- Assessment iniziale: prima ancora di considerare un servizio MSP, il team di sicurezza o IT dell’azienda dovrebbe stabilire cosa dare in gestione all’esterno, con qualche budget e con quali meccanismi di collaborazione (anche sulla base delle norme che regolamentano il proprio settore). Una volta stabilito questo, passare quindi a una shortlist di potenziali fornitori, di cui verificare referenze e servizi.
- Competenza tecnica: un buon provider deve essere in grado di far leva sui log del cliente per individuare rischi e anomali, deve dimostrarsi capace in aspetti come Big Data Analysis, Anomaly Detection, Threat Analysis & Hunting.
- Organizzazione, skill operativi: il provider deve dimostrare la capacità di avviare correttamente il servizio, allinearlo con i requisiti del cliente, fornire alert e meccanismi di risposta in linea con le best practice e con metodologie consolidate
- Monitoraggio, avvisi, risposta: chi mette attività così critiche in gestione a un fornitore esperto, deve aver verificato in anticipo su quali ambiti saranno attivati i servizi del MSP; quali saranno le tecnologie impiegate; in che modo saranno gestiti e diffusi gli avvisi, in accordo con una classificazione basata sul livello di gravità degli eventi. Anche per eventi di minor conto o non particolarmente critici andrebbero previste in ogni modo attività di analisi.
Nonostante diversi freni (come il costo crescente dei servizi di cybersecurity, l’innovazione tecnologica introdotta, la necessità di migrare almeno parte delle soluzioni di protezione dei dati al cloud), il mercato sta rispondendo molto positivamente alla nuova offerta di Managed Security.
Tra le evoluzioni a cui si assiste ora, un ampliamento dei servizi e un’unificazione di svariate attività (SIEM, MDR, XDR) in piattaforme sempre più unificate ed efficaci. Tutto questo per mettere a disposizione servizi di SOC a un numero ampio di client, con aspetti di personalizzazione ma anche con un’offerta ottimizzata che fa leva su capacità consolidate (di SOC-as-a-service).
A cura di: Elena Vaciago, @evaciago
