Extended Detection and Response: non tutti gli XDR sono uguali
Il mercato globale dell’Extended Detection and Response (XDR) è destinato a crescere notevolmente nel prossimo decennio. Secondo una stima di World Wide Technology, tra il 2021 e il 2028 si registrerà uno sviluppo annuo di quasi il 20%, raggiungendo un valore di 2,06 miliardi di dollari entro tale data.
Si tratta di un periodo di forte espansione in cui i vendor di sicurezza già in possesso di un’offerta XDR perfezioneranno le loro soluzioni e, con tutta probabilità, anche nuovi operatori si affacceranno sul mercato. Tuttavia, una tale varietà non è necessariamente un bene per le aziende, poiché con le tante soluzioni XDR disponibili oggi sul mercato, capire quale scegliere può rivelarsi una sfida. Non tutte le piattaforme XDR sono uguali né garantiscono lo stesso valore. Vediamo quindi come orientarsi nella scelta.
Filtraggio dei dati: il peggio del peggio
Va detto che alcune aziende non hanno la possibilità di elaborare tutta la telemetria disponibile per le proprie offerte di Endpoint Detection and Response (EDR). Di conseguenza, ricorrono a una tecnica nota come “filtraggio dei dati” con cui eliminano in sostanza la telemetria, nonostante sia utile per il rilevamento. Non hanno scelta: il loro modello prevede l’invio di tutti i dati al cloud per essere analizzati prima di poter ottenere un rilevamento.
In questo modo, però, la capacità di queste aziende di garantire la sicurezza intrinseca viene messa in discussione. Infatti, se le loro piattaforme non sono attualmente capaci di gestire tutta la telemetria endpoint disponibile per effettuare rilevamenti tramite EDR, come potranno essere in grado di elaborare efficacemente un numero ancora maggiore di telemetria da sorgenti non endpoint?
Una soluzione XDR efficace deve essere in grado di gestire le ingenti quantità di dati di telemetria provenienti non solo dagli endpoint, ma anche dai workload/container del cloud, dalle identità degli utenti, dalle suite di applicazioni aziendali, ecc. Sono quindi idonee a fornire una soluzione XDR efficace? No, non lo sono, come dimostra la realtà dei fatti basata sulle capacità della piattaforma.
XDR nativo vs XDR aperto
Una volta eseguito il filtraggio dei dati, è importante distinguere tra XDR “nativo” e XDR “aperto”. Il primo esegue le funzionalità XDR integrandosi con le soluzioni “native” presenti nello stesso portafoglio del vendor. Questo tipo di offerta fa sì che i team di sicurezza non debbano dedicare troppo tempo alla configurazione delle piattaforme XDR e non si trovino a dover gestire complicate procedure di acquisto per tutte le diverse soluzioni. I vantaggi però terminano qui. Con l’XDR nativo, le aziende potrebbero trovarsi in uno stato di “vendor lock-in” o, in altre parole, rimanere vincolate ad un unico fornitore che non soddisfa pienamente le loro esigenze di sicurezza. Inoltre, per poter utilizzare al meglio un prodotto XDR nativo, le aziende potrebbero dover sostituire alcune delle loro tecnologie esistenti, riducendo così il ROI degli investimenti attuali.
Tutte problematiche, queste, che non riguardano per nulla l’XDR aperto (noto anche come “ibrido”), un approccio grazie al quale le aziende integrano le proprie piattaforme XDR con le migliori soluzioni del settore. Certo, dovranno affrontare processi di acquisto separati per questi strumenti e le integrazioni potrebbero non essere altrettanto complete come nel caso di una piattaforma XDR nativa.
Tuttavia, a loro favore gioca la possibilità di utilizzare l’XDR aperto per operare con strumenti in grado di soddisfare i requisiti di sicurezza che continuano ad evolversi. Inoltre, avvalendosi di una piattaforma XDR aperta, non dovranno rimpiazzare nessuno degli investimenti esistenti (se ancora operativi).
XDR tradizionale vs XDR avanzato
Su un gradino più in alto rispetto all’XDR nativo e all’XDR aperto, troviamo la differenza tra l’XDR tradizionale e l’XDR avanzato. Tale distinzione riguarda il modo in cui una piattaforma XDR raccoglie i dati e di conseguenza i tipi di incidenti di sicurezza in grado di evidenziare.
L’XDR tradizionale ha un funzionamento molto semplice: si integra con la threat intelligence per localizzare gli Indicatori di Compromissione (IOC) di attacchi già noti. La piattaforma XDR aiuta quindi i team di sicurezza a reagire a tali incidenti, mentre gli analisti devono gestire manualmente tutti gli alert pertinenti e poi tentare di correlarli per determinare quali sono collegati a un effettivo evento di sicurezza al fine di rispondere alla domanda “siamo sotto attacco?”. Tale operazione può richiedere tempo, dando agli attaccanti digitali l’opportunità di infiltrarsi ulteriormente nei sistemi aziendali.
L’XDR avanzato compie un ulteriore passo in avanti automatizzando le attività di individuazione e correlazione che solitamente richiedono molto tempo. Questo sistema non solo si integra con la threat intelligence, ma utilizza anche l’intelligenza artificiale (AI) e l’apprendimento automatico (ML) per fornire correlazioni contestuali basate sulla telemetria da fonti diversificate tra gli asset aziendali.
L’XDR avanzato, quindi, non solo garantisce visibilità lungo tutta la kill chain, ma fornisce anche una risposta predittiva automatizzata, elevando le capacità degli analisti di livello 1-2 al pari delle competenze di livello 3, implementando così sia l’efficienza che l’efficacia.
XDR basato su AI
Fortunatamente per loro, le aziende non devono accontentarsi di soluzioni XDR incomplete. Possono scegliere una soluzione XDR basata sull’intelligenza artificiale in grado di fornire la cronologia completa dell’attacco in tempo reale e di estendere il rilevamento e il monitoraggio continuo delle minacce, insieme alla risposta automatizzata, al di là degli endpoint per proteggere le applicazioni, gli strumenti di identità e accesso, i workload cloud containerizzati e molto altro ancora.
L’XDR basato su AI elabora anche flussi di threat intelligence per consentire alle aziende di difendersi dagli attacchi noti e utilizza l’AI e l’apprendimento automatico (ML) per correlare automaticamente la telemetria proveniente da questi diversi asset e quindi restituire la cronologia completa dell’attacco in tempo reale. Questa funzionalità evita agli analisti della sicurezza di dover gestire ogni singolo alert generato e affrontare più rapidamente le minacce reali.
Oltre la metà (52%) dei dirigenti delle aziende statunitensi ha dichiarato a PwC di aver intensificato le attività di adozione dei sistemi AI/ML e un numero ancora maggiore (86%) ha affermato che entro la fine del 2021 l’AI/ML diventerà una “tecnologia mainstream” nei loro ambienti. Inoltre, grazie all’AI/ML, i team di sicurezza potranno fendere il “rumore” prodotto da una costante ondata di avvisi di minacce e falsi positivi.
L’XDR basato su AI sfrutta, a sua volta, l’analisi comportamentale e gli Indicatori di Comportamento (IOB) per offrire una prospettiva più approfondita sul modo in cui gli attaccanti conducono le proprie campagne. Questo approccio incentrato sulle operazioni è di gran lunga superiore nel rilevare gli attacchi in anticipo, soprattutto quelli altamente mirati che utilizzano strumenti e tattiche mai visti prima e che eludono i tradizionali software di sicurezza degli endpoint.
Individuare un componente di un attacco attraverso catene di comportamenti potenzialmente dannosi offre ai difensori una visione dell’intera operazione, partendo dalla causa principale e considerando tutti gli utenti, i dispositivi e le applicazioni interessati. Ed è proprio qui che interviene l’XDR basato su AI, correlando in modo automatico i dati a una velocità di milioni di eventi al secondo rispetto agli analisti che li interrogano manualmente per convalidare i singoli avvisi nell’arco di diverse ore o addirittura di giorni.
Questa visibilità consente ai team di sicurezza di reagire a un evento prima che si trasformi in un grave problema di sicurezza e di introdurre misure volte ad accrescere le difficoltà per i futuri attaccanti.
A cura di William Uldovich, Vice President Southern Europe and Africa di Cybereason