Mettere in discussione il valore della sicurezza di cui disponi è un esercizio necessario e valido, soprattutto se associato a una comprensione dettagliata della sua efficacia. Come vendor di cyber security, saremmo negligenti se non facessimo regolarmente questa domanda sulle cose che facciamo anche per i clienti. Questo post parla di ciò che è accaduto quando abbiamo pensato al valore del nostro prodotto quando le cose che difende non vengono attaccate. Lo chiamiamo “valore in tempo di pace” (Peacetime Value).

Il “Peacetime Value” ha molte sfaccettature e contiene più informazioni di quelle che possiamo inserire in un post, quindi tieni presente che questa è una visione di alto livello e la verità si trova davvero nei dettagli. Scopri di più sul Peacetime Value nei prossimi mesi o contatta l’indirizzo e-mail alla fine di questo articolo per saperne di più.

Approfondimenti sulla sicurezza e ricerca sulle minacce

Il “Peacetime Value” aiuta i clienti a comprendere meglio le loro proprietà, a vedere e gestire i rischi e, in generale, a migliorare la posizione di sicurezza della propria organizzazione. Cosa intendiamo? Gli insight sulla sicurezza utilizzano i dati raccolti da Countercept per fornire una migliore visibilità dei rischi associati all’errata configurazione dei controlli di sicurezza esistenti. Queste informazioni acquisiscono maggiore valore se combinate con la ricerca sulle minacce: informazioni su ciò che sta accadendo al di fuori dell’ambiente immediato del cliente. Insieme, queste due cose offrono alle persone visibilità dei rischi relativi al profilo, alla posizione geografica e al settore verticale della propria organizzazione.

Parte di ciò riguarda anche l’intuizione che aiuta i team di sicurezza a scavalcare quella cresta ripida e insidiosa che si trova tra misure reattive e proattive. In una situazione in cui sei costretto a reagire ai cambiamenti, capita quasi sempre che diventare proattivi comporti sforzi significativi. Garantire che le basi siano presenti e che si possa imparare durante il tempo di pace è importante, sia che tu stia combattendo gli attacchi o ti goda una pausa.

Non basarti sugli incidenti per arricchire le tue conoscenze

Allo stesso modo, non dovresti aspettare che si verifichi un incidente prima di individuare potenziali punti deboli. La ricerca della perdita di gas con un fiammifero acceso è efficace in quanto la troverai sicuramente, ma è ben lontano da essere il modo migliore per farlo. Molti consigli che le organizzazioni ricevono dagli MSSP esistenti si basano sugli insegnamenti tratti dagli incidenti di sicurezza del cliente, dopo l’evento piuttosto che prima.

Sebbene sia fondamentale imparare dagli eventi quando si verificano, non dovrebbe essere l’unica fonte di informazioni e non dovresti fare affidamento su incidenti che potrebbero non accadere in primo luogo. Le valutazioni si svolgono al termine di un processo che inizia con un attacco.

È qui che entrano in gioco le nostre conoscenze sulla sicurezza: utilizzando tutti i dati che raccogliamo possiamo identificare e quantificare la configurazione errata prima che possa mai portare a un incidente. I dati che raccogliamo nell’ambito del nostro servizio non mostrano sempre nulla di intrinsecamente dannoso, ma possiamo utilizzarli per individuare potenziali rischi.

Comprendere la posizione di sicurezza della tua organizzazione e il profilo di rischio non dovrebbe dipendere dall’essere attaccato.

Come funziona?

Un esempio potrebbe essere app e strumenti di accesso remoto. In passato abbiamo avvisato i clienti di un’enorme varietà di questo tipo di software installato dagli utenti senza autorizzazione. Questa regola di sicurezza ha spesso le migliori intenzioni di svolgere un’attività o fungere da soluzione alternativa. Un’altra potrebbe essere una prevalenza dei diritti di amministratore locale sui sistemi degli utenti. Quindi c’è da verificare che gli strumenti di sicurezza siano all’altezza e alla ricerca di sistemi operativi obsoleti o altri software. Ricevere avvisi e assegnare un punteggio al rischio al momento giusto può davvero fare la differenza.

Diciamolo con il linguaggio aziendale

Una cosa è fornire questo tipo di approfondimento a un pubblico tecnico, ma un’altra è spiegarla a un tipico consiglio di amministrazione in modo che possano usarlo per prendere decisioni informate. I controlli di sicurezza come MDR alla fine aiutano a gestire i rischi aziendali. Se ciò che fanno non può essere articolato senza gergo per un pubblico aziendale, allora può essere difficile lottare per conservare strumenti preziosi di fronte a così tante priorità aziendali concorrenti.

Non si tratta solo di identificare le aree di investimento e di costruire casi aziendali; spesso i sistemi, i team e gli investimenti esistenti possono essere sfruttati per ulteriore valore.

Questo lavoro di “traduzione” può richiedere molto tempo e comunicare il rischio aziendale, la definizione delle priorità e (se necessario) la spesa richiede informazioni utili sul valore, sul rischio e sulle opportunità aziendali. Ciò ha anche un impatto sulla sfida reattiva / proattiva citata in precedenza: passare dalla mentalità della sicurezza informatica come polizza assicurativa alla comprensione dell’intuizione e dell’intelligence che può portare alla situazione per guidare le decisioni più ampie di business, tecnologia e sicurezza.

Valutazione del rischio per la tua organizzazione

L’obiettivo a lungo termine di ciò che stiamo facendo con il Peacetime Value è quello di sviluppare un modo per i nostri clienti di vedere a colpo d’occhio quali rischi corre la loro organizzazione e in che modo la loro posizione di sicurezza si adatta alle minacce e si adatta nel tempo. I nostri clienti beneficiano già del Peacetime Value e stanno utilizzando gli approfondimenti che forniamo per prendere decisioni aziendali migliori, nonché per articolare meglio il loro ruolo e il ruolo del servizio di MDR per il business più ampio. Mettiti in contatto con F-secure a mdr@f-secure.com per discutere di cosa vorresti vedere da un servizio di rilevamento e risposta gestito quando non difende la tua organizzazione da un attacco in corso.