Sophos Managed Detection and Response (MDR) è un servizio completamente gestito 24 ore su 24, 7 giorni su 7, ed è fornito da esperti di sicurezza che rilevano e rispondono agli attacchi informatici che prendono di mira computer, server, reti, carichi di lavoro cloud, account e-mail e altro ancora.
Diamo un’occhiata dietro le quinte alla giornata tipo di Anthony Bradshaw, analista MDR e Team Lead di Sophos, il quale condividerà con voi le attività quotidiane di un analista della sicurezza, illustrerà un recente esempio di rilevamento e risoluzione delle minacce per un cliente MDR, e altro ancora.
Sophos: Prima di iniziare, Lei come definirebbe la sigla MDR?
Bradshaw: MDR è un acronimo che sta per “Managed Detection and Response” (rilevamento e risposta gestiti), ma dietro c’è molto di più. Si tratta di informazioni, caccia e ricerca sulle minacce, ingegneria del rilevamento, risposta agli incidenti, e così via. È un pacchetto completo per proteggere i sistemi critici, caratterizzato dalla possibilità di disporre di analisti-tecnici altamente specializzati che offrono risposte agli attacchi in un batter d’occhio.
Le organizzazioni, comprese quelle di alto livello, sono consapevoli di quanto sia impegnativo e costoso creare un’intera unità di sicurezza informatica, hanno ben presente tutto ciò che deriva dal gestire le risorse tecnologiche. Di conseguenza lavorare con un team come il nostro vuol dire ridurre la complessità del governo dell’infrastruttura, per non parlare dell’abbattimento dei costi da sostenere per potersi dotare di tutti gli strumenti interni necessari a garantire un alto livello di sicurezza.
Sophos: Quali sono le responsabilità di un analista MDR e quali competenze e conoscenze ricercate quando assumete personale?
Bradshaw: I nostri analisti MDR hanno generalmente tre principali responsabilità: indagare sugli incidenti, risolverli e fornire assistenza ai clienti. Investigare e appianare sono cose ovvie, ma il servizio clienti è un argomento che vorrei toccare.
I nostri analisti interagiscono continuamente con i nostri clienti. Che si tratti di una rapida telefonata per dare conferma di un’attività sospetta, oppure di una sessione Zoom in piena regola allestita per gestire un incidente, è estremamente importante che i nostri analisti comprendano il valore connesso alla fornitura di un servizio clienti dalla qualità eccellente.
Per deformazione professionale amiamo ovviamente l’aspetto tecnologico. Se la persona dispone di alcune certificazioni di base, o di un’istruzione in Security+ o Network+, ciò costituisce un ottimo inizio perché dimostra che è interessato all’argomento e che ha un approccio di tipo analitico. Tuttavia possedere competenze trasversali è a tutti gli effetti un must, perché comunicare e articolare ciò che deve essere detto in un determinato momento critico è oltremodo prezioso.
Cerchiamo anche persone con esperienze diverse, non per forza legate al mondo tech. Abbiamo ex insegnanti, veterani dell’esercito e altre figure che compongono i nostri team, davvero diversificati in termini di tipologie di operatori esperti che li compongono. Sintetizzando: cerchiamo persone che siano sinceramente appassionate di sicurezza informatica. Appurato questo, siamo perfettamente in grado di formarli sulle competenze soft e hard necessarie per conseguire successo.
Sophos: Su quali strumenti e tecnologie fa affidamento un analista MDR per svolgere il proprio lavoro?
Bradshaw: Gli analisti di Sophos si affidano a una varietà di strumenti, proprietari e open-source, per condurre indagini e gestire la caccia alle minacce.
Disponiamo di una piattaforma proprietaria sulla quale i nostri analisti trascorrono la maggior parte del loro tempo, e utilizziamo per gran parte delle nostre analisi investigative anche Sophos Central, la nostra console di gestione dei prodotti basata su cloud.
Possiamo importare dati dai nostri prodotti e da quelli di terze parti, ed essi vengono automaticamente consolidati, correlati e prioritizzati per accelerare il rilevamento, l’indagine e la risposta alle minacce, così da poter fornire i migliori risultati nel contesto della sicurezza informatica.
Il team MDR monitora i dati e risponde quando riceviamo avvisi su qualcosa di insolito, come una strana identità e-mail, penetrazioni del firewall o rilevamenti di un evento Microsoft con l’API MS Graph. Abbiniamo queste due piattaforme a strumenti open source standard per indagare su IP, domini, file e simili.
Sophos: Com’è una giornata tipo dei componenti del vostro team?
Bradshaw: generalmente i primi trenta minuti di ciascun turno dei nostri analisti vengono spesi per aggiornarsi su ciò che è accaduto durante il turno precedente e per accedere ai propri “posti di combattimento”, in maniera tale da essere pronti per la giornata. Successivamente iniziano a lavorare su indagini, messa a punto del rilevamento, caccia alle minacce, incidenti in tempo reale e cose del genere.
Abbiamo avuto un caso recente che coinvolgeva un fornitore di firewall di terze parti relativamente nuovo: un cyber criminale aveva ottenuto l’accesso all’interfaccia del firewall del nostro cliente ed era di conseguenza in grado di apportare modifiche alla sua policy e di creare nuovi account da amministratore. Questi ultimi sono stati utilizzati per passare all’infrastruttura del cliente e l’attaccante ha iniziato a enumerare il dominio e a spostarsi lateralmente.
Abbiamo rilevato sia il movimento laterale, sia l’enumerazione dei domini, e abbiamo contattato immediatamente il cliente, il quale ha confermato che l’attività era anomala. Abbiamo quindi avviato le nostre procedure di risposta agli incidenti.
Lavorando congiuntamente abbiamo contenuto la minaccia consentendo al cliente di implementare molto rapidamente una patch del firewall. Abbiamo anche esaminato i log del firewall per confermare l’accesso iniziale e determinato gli IOC (Indicatori di Compromissione) che il cliente ha subito bloccato all’edge della rete per prevenire attacchi simili in futuro.
Ecco come potrebbe essere una sessione di lavoro tipo. Offriamo inoltre ai nostri analisti frequenti giornate di sviluppo e crescita che consentono loro di lavorare su progetti, ricerche e persino sulle certificazioni che desiderano ottenere in futuro. Sophos offre oltretutto un’ampia gamma di programmi di certificazione, non solo per il proprio team, ma anche per clienti e partner.