Principali Sfide per MSSP e MDR e Come Superarle

[post-views]
Settembre 23, 2022 · 10 min di lettura
Principali Sfide per MSSP e MDR e Come Superarle

Alcune cose non invecchiano mai. Nel mondo dei fornitori di sicurezza, ci sarà sempre una mancanza di professionisti, tempo e fornitori concreti, mentre dovrai sempre affrontare un’abbondanza di rischi, complessità e pressione sui costi. Tuttavia, ci sono alcune sfide meno ovvie che ostacolano la crescita e la scalabilità del tuo MSSP o MDR. Immergiamoci subito in alcuni problemi quotidiani angoscianti per risolverli e portare il tuo business al livello successivo.

Sfida 1. Copertura delle fonti di log

Iniziamo subito con una delle più complicate perché, non importa quanto tempo sei nel campo della cybersecurity, sai che trovare un equilibrio è difficile. Dov’è la via di mezzo tra una grande copertura che ti mantiene al sicuro e enormi volumi di dati abbinati alla stanchezza da allerta? Bene, questa domanda merita ore di discussione perché ogni caso è unico. Tuttavia, ci sono raccomandazioni universali che, si spera, evitino che il tuo occhio tremi ogni volta che qualcuno chiede della strategia di logging.

Soluzione

Prima di iniziare a fare qualsiasi cosa, riformula la domanda da Quali log dovrei raccogliere? to Per cosa raccolgo questo particolare log?

Ora, questo è ciò che dovresti prendere in considerazione mentre selezioni i log:

  • Non cercare di coprire tutte le tecniche. Invece, migliora la tua conoscenza della kill chain per comprendere i vettori di attacco. Puoi iniziare con le basi su MITRE ATT&CK e poi perfezionare la tua conoscenza con una serie di articoli di Jose Luiz Rodriguez sulle fonti di dati ATT&CK.
  • Ricorda che nessun attacco si riduce solo a un framework. Ecco perché dovresti essere flessibile.
  • Rimani aggiornato con le nuove tecniche controllando costantemente le ultime ricerche e tenendo d’occhio i leader del settore.
  • Considera sempre il campo di business e la regione dei tuoi clienti. In base a ciò, definisci gli APT e i vettori di attacco più comuni.
  • Utilizza sempre solo le informazioni sulle minacce affidabili e più recenti, evitando i dati storici.
  • Ricorda che la visibilità è fondamentale non solo prima ma anche durante e dopo un incidente di cybersecurity.

La grande base delle tue conoscenze sulle fonti di log può essere la Guida NIST alla gestione dei log di sicurezza informatica (documento 800-92). Mentre il NIST sta ancora lavorando per aggiornare questa guida, l’istituto ha rilasciato un memorandum per i capi dei dipartimenti e delle agenzie esecutive. Le revisioni sono guidate principalmente dalla natura in evoluzione degli attacchi recenti.

Il passo successivo, altrettanto importante quanto la raccolta dei log, è analizzare gli eventi registrati. Abbiamo già coperto i suggerimenti per un’analisi dei log di successo qui.

Sfida 2. Varietà di piattaforme

Essere un fornitore di servizi di sicurezza crea una sfida di versatilità. Per il bene della soddisfazione dei clienti e di un mercato di riferimento più grande, dovresti essere in grado di supportare vari prodotti e strumenti, inclusi diversi SIEM, EDR e XDR. Questo crea un problema gestionale scoraggiante, richiede un ulteriore curva di apprendimento e richiede più specialisti nel tuo team.

Soluzione

Per fornire e supportare una grande qualità dei servizi, il modo migliore è cercare soluzioni universali. Nel caso della cybersecurity, la prima cosa che dovresti integrare nelle tue procedure di lavoro è Sigma. È un linguaggio comune per la cybersecurity che ti consente di creare una query generica e poi usarla per varie piattaforme. Se sei nuovo a Sigma, controlla i seguenti materiali:

  • SigmaHQ repository GitHub
  • A cheat sheet sui fondamenti dell’ingegneria della rilevazione con Sigma di Josh Brower e Chris Sanders
  • Anatomia di una regola Sigma di Thomas Roccia
  • The pySigma repository GitHub avviato da Thomas Patzke e Florian Roth. pySigma è una libreria python per l’analisi e la conversione delle regole Sigma in query
  • A guida alle regole Sigma per principianti

Un altro consiglio è quello di optare per fornitori affidabili che possano coprire diverse esigenze con una sola soluzione. Tuttavia, evita prodotti “unico per tutti” perché quanto più ampia è l’offerta, tanto più è difficile mantenerla sufficientemente profonda. Scopri come LTI ha risolto la sfida di gestire soluzioni multiple SIEM ed EDR sfruttando la piattaforma di SOC Prime.

Sfida 3. Minacce emergenti

Il panorama delle minacce sta cambiando a una velocità sempre maggiore, lasciandoci come unica opzione quella di migliorare costantemente i metodi di rilevazione e risposta. Ogni azienda trova la propria risposta a questa sfida. Alcuni puntano su nuovi software, mentre altri impiegano nuovi specialisti. Ma è veramente efficace? Tali misure aumenteranno i costi ma non necessariamente porteranno i risultati desiderati. Qual è l’approccio più appropriato?

Soluzione

Queste sono le raccomandazioni che possono rafforzare significativamente la tua postura di sicurezza di fronte al panorama delle minacce in continua evoluzione:

  1. Opta per rilevazioni basate sul comportamento anziché regole basate su IOC. Le regole di rilevazione basate sul comportamento semplicemente durano più a lungo perché cercano principalmente i modelli che gli avversari usano ripetutamente. Allo stesso tempo, le rilevazioni basate su IOC sono meglio utilizzate retroattivamente per controllare i dati storici e verificare se sei stato attaccato in precedenza. Ricorda solo che una semplice query fatta per identificare un’insolita attività di rundll32 ti servirà molto più a lungo rispetto a una rilevazione basata sul report IOC.
  2. Integra/raffina le tue procedure di Threat Hunting. Sebbene molte aziende evitino il Threat Hunting o lo eseguano in modo molto basilare, è un’ottima soluzione per migliorare la tua difesa informatica proattiva.
  3. Rimani consapevole di nuove minacce, vettori di attacco, tecniche, attori delle minacce, ecc. Sii sempre al passo con i nuovi rapporti, impara e cerca di seguire i leader del settore e gli esperti. Può certamente salvarti da una gran parte di spiacevoli sorprese.
  4. Utilizza la difesa informatica collaborativa a tuo vantaggio. Ci sono diversi progetti open-source che possono essere altamente vantaggiosi per il tuo business. Prova a iniziare con i repository GitHub, come LOLBAS, ELF Parser, YARA, regexploit, lynis, ecc.
  5. Cerca regole di rilevazione sulla piattaforma SOC Prime. È un ottimo modo per trovare rilevazioni, contesto sulle minacce, binari e le corrispondenti simulazioni di Red Canary. Sfida 4. Tempismo

Mentre potremmo discutere su quale sia il bene più prezioso, tutti sarebbero d’accordo che il tempo è inestimabile. Non essere in grado di rilevare le minacce tempestivamente può comportare non solo perdite finanziarie ma anche perdita di dati, problemi di conformità e rischi reputazionali. Naturalmente, parlando di cybersecurity, nulla e nessuno può darti una garanzia al 100%, ma essere costanti e strategici farà più di quanto pensi.

La rilevazione tempestiva spesso si riduce ai fattori che abbiamo già menzionato: la conoscenza della kill chain, la raccolta e analisi dei log oculata, l’integrazione del Threat Hunting e il rimanere aggiornati sulle minacce emergenti. Tuttavia, un ulteriore passo per aumentare la velocità di fornitura del servizio è automatizzare i processi ricorrenti ove possibile. Ma quale automazione è la più efficiente per gli MSSP e gli MDR in particolare?

Per liberare più tempo e risorse per le attività critiche per il business, prova ad automatizzare le seguenti procedure:

Soluzione

Scansione e monitoraggio.

  • Di solito, questi processi sono facili da automatizzare perché non richiedono molta attenzione umana. Compiti di arricchimento dati.
  • La maggior parte dei compiti relativi ai dati al livello iniziale potrebbe essere automatizzata perché l’attenzione umana è molto più utile successivamente. Ordinamento e analisi di base.
  • Prima di passare i dati grezzi al tuo analista, puoi facilmente automatizzare il processo di ordinamento e analisi semplice, almeno per i casi più tipici. Risposta a incidenti di basso livello.
  • La risposta agli incidenti può variare molto. Tuttavia, alcune delle basi possono essere facilmente automatizzate Altre idee:
  • pentesting automatizzato, distribuzione delle rilevazioni, aggiornamenti software, ecc. Questa lista può essere modificata e ampliata in base alle politiche e alla strategia della tua azienda. Il concetto di Robotic Process Automation (RBA) è ancora oggetto di discussione per avere diversi svantaggi, come:

Non tutte le attività di cybersecurity possono essere automatizzate. È in realtà lontano da questo.

  • I bot RPA possono essere hackerati, provocando interruzioni operative o perdita di dati sensibili, per esempio.
  • Hai comunque bisogno di uno specialista esperto per impostare il processo di automazione e mantenerlo in funzione. Quindi non puoi automatizzare i tuoi processi e dimenticartene.
  • Man mano che il panorama delle minacce cambia, dovrai anche apportare diverse regolazioni.
  • Alcune aziende non possono applicare l’automazione a causa delle loro politiche.
  • Sfida 5. Concorrenza

Probabilmente ogni azienda affermerebbe che l’alta competizione è una delle loro sfide, indipendentemente da ciò che fanno. Tuttavia, ogni settore ha le sue peculiarità, quindi le strategie per distinguersi dai concorrenti varierebbero anche in modo drastico.

In qualità di fornitore di servizi di sicurezza, puoi sempre tornare alla seguente checklist che ti riporterà sempre in carreggiata:

Soluzione

Prova di competenza e qualità. Puoi immaginare che ogni singolo fornitore dica di essere il migliore. Sii quello che può dimostrarlo e lascia che siano le tue recensioni a parlare. Se fai un ottimo lavoro, i tuoi clienti soddisfatti condivideranno quasi certamente le loro esperienze positive. Qualche volta devi solo chiedere.

  1. Scegli i tuoi partner con saggezza. Se hai una selezione di fornitori affidabili, non avrai problemi a dimostrare la qualità dei tuoi servizi.
  2. Mostra il tuo alto valore. Alcune aziende potrebbero iniziare a ingaggiarsi in una corsa al ribasso abbassando i prezzi e acquisendo più clienti di quanti ne possano gestire. Cerca di puntare su qualità piuttosto che quantità, e vedrai i miracoli del passaparola.
  3. Dimostra la tua efficacia con report chiari. Ricorda che fornisci servizi ad aziende e quasi ogni decisione che i leader aziendali prendono si basa sul ROI. Dimostra che i tuoi servizi sono critici fornendo regolari e espliciti resoconti.
  4. Velocità ed efficacia. La cybersecurity fa contare ogni secondo. Quindi dovresti lavorare per fornire risultati di qualità con il miglior tempismo possibile. Tuttavia, evita di fare promesse irrealistiche.
  5. Sii diverso. Anche se questa nicchia è carica di offerte, guarda come i tuoi concorrenti si marketizzano. Si impegnano con la comunità? Quali sono i loro principali punti di vendita? E come attraggono nuovi clienti? Queste sono solo alcune delle domande che potrebbero aiutarti a cambiare la tua strategia.
  6. Conclusione

La cybersecurity è un’industria impegnativa, quindi ci saranno sempre sfide da superare. Ma se hai una strategia adeguata, un approccio coerente e fornitori di alta qualità alle spalle, nulla è impossibile per te. SOC Prime è un

partner fidato di numerosi MSSP e MDR. Verifica l’efficacia del più grande marketplace di rilevamento delle minacce gratuitamente. of numerous MSSPs and MDRs. Check the effectiveness of the biggest threat detection marketplace by yourself for free.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Blog, Ultime Minacce — 4 min di lettura
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Veronika Telychko
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Blog, Ultime Minacce — 5 min di lettura
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Veronika Telychko