I moderni attacchi informatici non sono definiti da singole vulnerabilità o fallimenti isolati. Hanno successo sfruttando combinazioni di debolezze, configurazioni errate, lacune nell'identità e punti ciechi nel rilevamento. Tuttavia, molte organizzazioni continuano ad affrontare la sicurezza come un insieme di attività scollegate: la gestione dell'esposizione da un lato e il rilevamento delle minacce dall'altro.

La combinazione della gestione continua dell'esposizione alle minacce (CTEM) con il rilevamento e la risposta gestiti (MDR) cambia completamente questa dinamica: insieme, colmano il divario tra l'identificazione dell'esposizione e il blocco degli attacchi reali, creando una strategia di cybersecurity completa, proattiva e realmente preventiva.

ctem-1

I limiti degli approcci di sicurezza isolati

La gestione delle vulnerabilità si concentra sull'identificazione di problemi come la mancanza di patch o di sistemi operativi vulnerabili, mentre le operazioni di sicurezza si concentrano sul rilevamento e sulla risposta alle minacce una volta che sono attive. Entrambi sono essenziali, ma se trattati separatamente creano rischi.

I dati sulle vulnerabilità senza un contesto operativo spesso portano a un eccesso di arretrati di rimedio, con poca chiarezza su ciò che conta davvero. Il rilevamento senza la visione dell'esposizione lascia i team a reagire agli incidenti senza affrontare le condizioni che li hanno generati. Gli aggressori sfruttano questa disconnessione prendendo di mira i percorsi di minor resistenza, non i problemi con i punteggi di gravità più elevati.

Per colmare questo divario è necessario che CTEM e MDR funzionino come un'unica strategia coordinata, anziché come iniziative parallele.

CTEM: comprendere in modo proattivo l' esposizione del mondo reale

Il CTEM è progettato per rispondere a una domanda cruciale: quanto è esposta l'organizzazione nella pratica, non solo sulla carta. Identifica, convalida e dà priorità all'esposizione in tutta la superficie di attacco, comprese le vulnerabilità, le configurazioni errate, le debolezze dell'identità e le lacune nei controlli di sicurezza.

Ciò che distingue il CTEM è la sua prospettiva incentrata sull'attaccante. Invece di trattare le debolezze in modo isolato, valuta come potrebbero essere concatenate, quali asset sono raggiungibili, dove è possibile l'escalation dei privilegi e quali percorsi potrebbero realisticamente portare a una violazione o a un impatto aziendale. In questo modo i team di sicurezza possono concentrarsi sulla riduzione dell'esposizione che gli aggressori hanno maggiori probabilità di sfruttare.

Il CTEM è intrinsecamente proattivo. Aiuta le organizzazioni a rimediare al rischio prima che si verifichi un attacco. Tuttavia, non opera in tempo reale. Evidenzia dove le porte sono aperte, ma non se un attaccante sta attivamente cercando di attraversarle.

MDR: rilevare e rispondere alle minacce nel momento in cui si verificano

Managed Detection and Response fornisce la visibilità e la capacità di risposta in tempo reale che il CTEM da solo non può offrire. L'MDR monitora continuamente l'attività di endpoint, identità, reti, piattaforme cloud e dati, identificando i comportamenti sospetti e rispondendo rapidamente per contenerli.

Combinando analisi avanzate, intelligence sulle minacce, automazione e indagini guidate dall'uomo, l'MDR rileva tempestivamente i segnali di minacce attive e limita il tempo di permanenza. Parte dal presupposto che una certa esposizione esisterà sempre e si concentra sulla garanzia che i tentativi di sfruttamento vengano identificati e bloccati rapidamente.

Tuttavia, l'MDR da solo rimane in gran parte reattivo. Sebbene possa interrompere gli attacchi in corso, non riduce intrinsecamente l'esposizione sottostante che ha reso possibili tali attacchi.

 

Perché CTEM e MDR sono più efficaci insieme?

Quando CTEM e MDR sono combinati, creano un ciclo di feedback continuo che migliora notevolmente i risultati della sicurezza.

Il CTEM identifica e dà priorità all'esposizione valutando la fattibilità dell'attaccante e l'impatto sull'azienda, aiutando i team di sicurezza a concentrare gli sforzi di ripristino sulla correzione delle esposizioni nei percorsi di attacco critici. L'MDR integra quindi questi risultati nelle procedure di gestione degli avvisi. Gli avvisi legati alle esposizioni note e sfruttabili sono prioritari. Se l'attività delle minacce si allinea ai percorsi di attacco noti, viene data la massima priorità.In questo modo, gli analisti MDR e i cacciatori di minacce possono concentrarsi su scenari di attacco realistici e non su rischi teorici, riducendo al contempo il rumore degli avvisi a basso rischio.

Questo approccio basato sull'evidenza sostituisce le congetture con la chiarezza. Le decisioni in materia di sicurezza sono informate sia dall'analisi proattiva dell'esposizione che dalle informazioni in tempo reale sulle minacce, consentendo alle organizzazioni di ridurre il rischio in modo più efficiente ed efficace.

Come Aegis MDR rende operativo il CTEM nel mondo reale

Mentre il CTEM definisce dove un'organizzazione è più esposta, Aegis MDR trasforma questa visione in una protezione continua e reale.

Aegis MDR offre rilevamento e risposta gestiti 24 ore su 24, 7 giorni su 7, su endpoint, identità, reti, ambienti cloud e dati. Questa visibilità ampia e integrata è essenziale in un modello di sicurezza basato sull'esposizione, in cui gli attacchi spesso si muovono lateralmente attraverso più domini utilizzando strumenti legittimi e identità compromesse.

Costruito su un'architettura aperta e vendor-agnostic, Aegis MDR si integra con gli investimenti di sicurezza esistenti piuttosto che sostituirli.

La ricerca e l'investigazione delle minacce da parte dell'uomo sono fondamentali per questo approccio. Gli avvisi automatici da soli non sono in grado di interpretare completamente l'esposizione nel contesto. Gli analisti di Aegis MDR valutano l'attività in base al comportamento dell'aggressore, al contesto ambientale e all'impatto sull'azienda, assicurando che le minacce vengano classificate in modo accurato e che si risponda con decisione.

Il risultato è un modello a ciclo chiuso. Il CTEM identifica l'esposizione. Aegis MDR conferma se gli aggressori stanno tentando di sfruttarla e li blocca quando lo fanno. Le informazioni ricavate dalle indagini confluiscono nella gestione dell'esposizione, affinando continuamente le priorità e rafforzando la postura di sicurezza nel corso del tempo, come fornito da Integrity360.

MDR2-4

 

Consentire una postura di sicurezza realmente preventiva

Il vero valore della combinazione di CTEM e MDR risiede nella prelazione. Sicurezza preventiva non significa prevenire ogni attacco. Significa anticipare i punti in cui gli aggressori hanno maggiori probabilità di successo e garantire che le capacità di correzione, controllo, monitoraggio e risposta siano attive prima che si verifichi lo sfruttamento.

Il CTEM fornisce la lente strategica, guidando la correzione e gli investimenti verso l'esposizione più significativa. L'MDR fornisce la capacità operativa, assicurando che quando gli aggressori tentano di sfruttare le debolezze, queste vengano individuate rapidamente e contenute in modo efficace.

In un panorama di minacce definito dall'abuso di identità, dal movimento laterale e dal rapido adattamento degli attaccanti, non è più possibile trattare la gestione dell'esposizione e il rilevamento come discipline separate. Una strategia CTEM e MDR unificata riflette il modo in cui gli aggressori operano nel mondo reale e fornisce la chiarezza, il controllo e la resilienza di cui le organizzazioni moderne hanno bisogno per ridurre il rischio prima, durante e dopo un attacco.

Per saperne di più sui nostri servizi gestiti Aegis MDR e CTEM, contattate oggi stesso i nostri esperti.

 

Contattaci