Extended Detection and Response: non tutti gli XDR sono uguali

A cura di:Redazione Ore

Il mercato globale dell’Extended Detection and Response (XDR) è destinato a crescere notevolmente nel prossimo decennio. Secondo una stima di World Wide Technology, tra il 2021 e il 2028 si registrerà uno sviluppo annuo di quasi il 20%, raggiungendo un valore di 2,06 miliardi di dollari entro tale data.

Si tratta di un periodo di forte espansione in cui i vendor di sicurezza già in possesso di un’offerta XDR perfezioneranno le loro soluzioni e, con tutta probabilità, anche nuovi operatori si affacceranno sul mercato. Tuttavia, una tale varietà non è necessariamente un bene per le aziende, poiché con le tante soluzioni XDR disponibili oggi sul mercato, capire quale scegliere può rivelarsi una sfida. Non tutte le piattaforme XDR sono uguali né garantiscono lo stesso valore. Vediamo quindi come orientarsi nella scelta.

Filtraggio dei dati: il peggio del peggio

Va detto che alcune aziende non hanno la possibilità di elaborare tutta la telemetria disponibile per le proprie offerte di Endpoint Detection and Response (EDR). Di conseguenza, ricorrono a una tecnica nota come “filtraggio dei dati” con cui eliminano in sostanza la telemetria, nonostante sia utile per il rilevamento. Non hanno scelta: il loro modello prevede l’invio di tutti i dati al cloud per essere analizzati prima di poter ottenere un rilevamento.

In questo modo, però, la capacità di queste aziende di garantire la sicurezza intrinseca viene messa in discussione. Infatti, se le loro piattaforme non sono attualmente capaci di gestire tutta la telemetria endpoint disponibile per effettuare rilevamenti tramite EDR, come potranno essere in grado di elaborare efficacemente un numero ancora maggiore di telemetria da sorgenti non endpoint?

Una soluzione XDR efficace deve essere in grado di gestire le ingenti quantità di dati di telemetria provenienti non solo dagli endpoint, ma anche dai workload/container del cloud, dalle identità degli utenti, dalle suite di applicazioni aziendali, ecc. Sono quindi idonee a fornire una soluzione XDR efficace? No, non lo sono, come dimostra la realtà dei fatti basata sulle capacità della piattaforma.

XDR nativo vs XDR aperto

Una volta eseguito il filtraggio dei dati, è importante distinguere tra XDR “nativo” e XDR “aperto”. Il primo esegue le funzionalità XDR integrandosi con le soluzioni “native” presenti nello stesso portafoglio del vendor. Questo tipo di offerta fa sì che i team di sicurezza non debbano dedicare troppo tempo alla configurazione delle piattaforme XDR e non si trovino a dover gestire complicate procedure di acquisto per tutte le diverse soluzioni. I vantaggi però terminano qui. Con l’XDR nativo, le aziende potrebbero trovarsi in uno stato di “vendor lock-in” o, in altre parole, rimanere vincolate ad un unico fornitore che non soddisfa pienamente le loro esigenze di sicurezza. Inoltre, per poter utilizzare al meglio un prodotto XDR nativo, le aziende potrebbero dover sostituire alcune delle loro tecnologie esistenti, riducendo così il ROI degli investimenti attuali.

Tutte problematiche, queste, che non riguardano per nulla l’XDR aperto (noto anche come “ibrido”), un approccio grazie al quale le aziende integrano le proprie piattaforme XDR con le migliori soluzioni del settore. Certo, dovranno affrontare processi di acquisto separati per questi strumenti e le integrazioni potrebbero non essere altrettanto complete come nel caso di una piattaforma XDR nativa.

Tuttavia, a loro favore gioca la possibilità di utilizzare l’XDR aperto per operare con strumenti in grado di soddisfare i requisiti di sicurezza che continuano ad evolversi. Inoltre, avvalendosi di una piattaforma XDR aperta, non dovranno rimpiazzare nessuno degli investimenti esistenti (se ancora operativi).

XDR tradizionale vs XDR avanzato

Su un gradino più in alto rispetto all’XDR nativo e all’XDR aperto, troviamo la differenza tra l’XDR tradizionale e l’XDR avanzato. Tale distinzione riguarda il modo in cui una piattaforma XDR raccoglie i dati e di conseguenza i tipi di incidenti di sicurezza in grado di evidenziare.

L’XDR tradizionale ha un funzionamento molto semplice: si integra con la threat intelligence per localizzare gli Indicatori di Compromissione (IOC) di attacchi già noti. La piattaforma XDR aiuta quindi i team di sicurezza a reagire a tali incidenti, mentre gli analisti devono gestire manualmente tutti gli alert pertinenti e poi tentare di correlarli per determinare quali sono collegati a un effettivo evento di sicurezza al fine di rispondere alla domanda “siamo sotto attacco?”. Tale operazione può richiedere tempo, dando agli attaccanti digitali l’opportunità di infiltrarsi ulteriormente nei sistemi aziendali.

L’XDR avanzato compie un ulteriore passo in avanti automatizzando le attività di individuazione e correlazione che solitamente richiedono molto tempo. Questo sistema non solo si integra con la threat intelligence, ma utilizza anche l’intelligenza artificiale (AI) e l’apprendimento automatico (ML) per fornire correlazioni contestuali basate sulla telemetria da fonti diversificate tra gli asset aziendali.

L’XDR avanzato, quindi, non solo garantisce visibilità lungo tutta la kill chain, ma fornisce anche una risposta predittiva automatizzata, elevando le capacità degli analisti di livello 1-2 al pari delle competenze di livello 3, implementando così sia l’efficienza che l’efficacia.

XDR basato su AI

Fortunatamente per loro, le aziende non devono accontentarsi di soluzioni XDR incomplete. Possono scegliere una soluzione XDR basata sull’intelligenza artificiale in grado di fornire la cronologia completa dell’attacco in tempo reale e di estendere il rilevamento e il monitoraggio continuo delle minacce, insieme alla risposta automatizzata, al di là degli endpoint per proteggere le applicazioni, gli strumenti di identità e accesso, i workload cloud containerizzati e molto altro ancora.

L’XDR basato su AI elabora anche flussi di threat intelligence per consentire alle aziende di difendersi dagli attacchi noti e utilizza l’AI e l’apprendimento automatico (ML) per correlare automaticamente la telemetria proveniente da questi diversi asset e quindi restituire la cronologia completa dell’attacco in tempo reale. Questa funzionalità evita agli analisti della sicurezza di dover gestire ogni singolo alert generato e affrontare più rapidamente le minacce reali.

Oltre la metà (52%) dei dirigenti delle aziende statunitensi ha dichiarato a PwC di aver intensificato le attività di adozione dei sistemi AI/ML e un numero ancora maggiore (86%) ha affermato che entro la fine del 2021 l’AI/ML diventerà una “tecnologia mainstream” nei loro ambienti. Inoltre, grazie all’AI/ML, i team di sicurezza potranno fendere il “rumore” prodotto da una costante ondata di avvisi di minacce e falsi positivi.

L’XDR basato su AI sfrutta, a sua volta, l’analisi comportamentale e gli Indicatori di Comportamento (IOB) per offrire una prospettiva più approfondita sul modo in cui gli attaccanti conducono le proprie campagne. Questo approccio incentrato sulle operazioni è di gran lunga superiore nel rilevare gli attacchi in anticipo, soprattutto quelli altamente mirati che utilizzano strumenti e tattiche mai visti prima e che eludono i tradizionali software di sicurezza degli endpoint.

Individuare un componente di un attacco attraverso catene di comportamenti potenzialmente dannosi offre ai difensori una visione dell’intera operazione, partendo dalla causa principale e considerando tutti gli utenti, i dispositivi e le applicazioni interessati. Ed è proprio qui che interviene l’XDR basato su AI, correlando in modo automatico i dati a una velocità di milioni di eventi al secondo rispetto agli analisti che li interrogano manualmente per convalidare i singoli avvisi nell’arco di diverse ore o addirittura di giorni.

Questa visibilità consente ai team di sicurezza di reagire a un evento prima che si trasformi in un grave problema di sicurezza e di introdurre misure volte ad accrescere le difficoltà per i futuri attaccanti.

A cura di William Uldovich, Vice President Southern Europe and Africa di Cybereason

Condividi sui Social Network:

Articoli simili

Regolamento UE sulla cybersecurity: un nuovo step nella strategia per la sicurezza dello spazio digitale comunitario

Regolamento UE sulla cybersecurity: un nuovo step nella strategia per la sicurezza dello spazio digitale comunitario

A cura di:Redazione Ore Pubblicato il

Poche settimane fa è entrato in vigore il Regolamento 2023/2841 del Parlamento europeo e del Consiglio, che stabilisce “misure volte a conseguire un livello comune elevato di cibersicurezza nei soggetti dell’Unione con riferimento: alla definizione da parte di ciascun soggetto dell’Unione di un quadro interno di gestione, di governance e di controllo dei rischi per…

VeraCrypt – Crittografia for paranoid people

VeraCrypt – Crittografia for paranoid people

A cura di:Fabio Carletti aka Ryuw Ore Pubblicato il

La riservatezza, la privacy e l’autenticità dei documenti digitali sono tra i temi più attuali in questo periodo storico. Tra spionaggio governativo e quotidiane violazioni della privacy per scopi commerciali, i tool che ci permettono di difenderci stanno prendendo sempre più piede anche tra gli utenti abituali di internet. Un programma multipiattaforma OpenSource che fa…

Distributed Ledger: una tecnologia abilitante per la resilienza ICT

Distributed Ledger: una tecnologia abilitante per la resilienza ICT

A cura di:Fabrizio Baiardi e Francesco Balzano Ore Pubblicato il

Dopo aver discusso alcune funzioni per aumentare la resilienza di un sistema ICT, consideriamo lo scambio di informazioni fra i moduli che implementano queste funzioni. I moduli possono operare correttamente solo se possono scambiare informazioni corrette e consistenti. Proponiamo di implementare queste comunicazioni attraverso un ledger distribuito. Il meccanismo del consenso alla base di un…

Come riconoscere i giochi on line realmente sicuri: ecco qualche utile suggerimento

Come riconoscere i giochi on line realmente sicuri: ecco qualche utile suggerimento

A cura di:Redazione Ore Pubblicato il

Giocare on line, così come effettuare altre operazioni che potrebbero avere per oggetto dati sensibili e transazioni di denaro, può essere un’attività rischiosa se non si presta attenzione ad alcuni aspetti. Gli utenti meno esperti, infatti, possono incappare nella rete di malintenzionati che, utilizzando siti e software solo apparentemente sicuri, cercano di derubare il malcapitato…

Tre problematiche fondamentali incentrate sui dati alle quali devono allinearsi le organizzazioni

Tre problematiche fondamentali incentrate sui dati alle quali devono allinearsi le organizzazioni

A cura di:Redazione Ore Pubblicato il

Anche le organizzazioni smart possono essere fuorviate da dati non protetti, dall’evoluzione delle minacce informatiche e dalla conformità al GDPR I team esecutivi aziendali spesso non sono in contatto con i loro reparti IT e di sicurezza. Mentre il management gestisce questioni aziendali fondamentali, che vanno dalla conformità, allo sviluppo aziendale, all’ufficio legale, al marketing,…

Smartphone Modulari: Vivi, Morti o X?

Smartphone Modulari: Vivi, Morti o X?

A cura di:Daniele Rigitano Ore Pubblicato il

Prefazione Quanto sarebbe bello poter sostituire i componenti del vostro smartphone che ritenete più obsoleti, senza dover sostituire l’intero dispositivo? Incrementare la RAM, potenziare la CPU, aggiungere l’n-esima fotocamera (Huawei P20 vi dice qualcosa?). Ebbene, quanto descritto non è pura fantascienza: partendo dall’ambizioso progetto “fai da te” di Orange-PI, passando per l’abortito Project ARA di Google…