Il linguaggio della sicurezza informatica è costellato da termini gergali, abbreviazioni e acronimi. Tra questi, uno degli ultimi arrivati è XDR, acronimo di Extended Detection and Response, un nuovo approccio adottato da molte aziende per contrastare le minacce avanzate, in un contesto che vede il proliferare di vettori di attacco sofisticati verso endpoint, reti e cloud. Pur avendo ottenuto molti riscontri positivi quest’anno da parte di leader del settore e analisti, il concetto di XDR è in continua evoluzione e pertanto attorno all’argomento c’è ancora confusione.
- Cos’è XDR?
- Che differenza c’è tra XDR ed EDR?
- XDR coincide con SIEM e SOAR?
Come leader del mercato EDR e pionieri nella tecnologia XDR emergente, ci viene spesso chiesto di chiarire le caratteristiche di questa tecnologia e il modo in cui può aiutare a fornire risultati migliori ai clienti. Scopo di questo post è rispondere ad alcune domande comuni che riguardano XDR e le differenze rispetto a EDR, SIEM e SOAR.
Cos’è EDR?
La tecnologia EDR consente alle aziende di monitorare gli endpoint per rilevare comportamenti sospetti e registrare ogni singola attività ed evento. Le informazioni vengono quindi correlate per fornire il contesto critico necessario al rilevamento delle minacce avanzate e, infine, vengono eseguite attività di risposta automatiche, come l’isolamento di un endpoint infetto dalla rete quasi in tempo reale.
Cos’è XDR?
XDR è l’evoluzione di EDR (Endpoint Detection and Response). Mentre EDR acquisisce e mette in relazione informazioni sulle attività in più endpoint, XDR ha una portata più ampia, fornendo rilevamento, analisi e risposta non solo sugli endpoint, ma anche su reti, server, carichi di lavoro cloud, SIEM e altro ancora.
Offre quindi una vista migliorata e unificata di più strumenti e vettori di attacco, che fornisce il contesto delle minacce per supportare le attività di triage, indagine e correzione rapida.
XDR acquisisce e correla automaticamente i dati attraverso più vettori di sicurezza, accelerando il rilevamento delle minacce per permettere agli analisti di rispondere rapidamente prima che le minacce si espandano. La produttività, il rilevamento delle minacce e i rapporti forensi risultano migliorati grazie a integrazioni preconfigurate e a meccanismi di rilevamento messi a punto in anticipo su diversi prodotti e piattaforme.
Che differenza c’è tra XDR e SIEM?
Quando parliamo di XDR, alcuni sembrano pensare che stiamo descrivendo uno strumento SIEM (Security Information & Event Management) con parole diverse. Ma XDR e SIEM sono due concetti distinti.
SIEM acquisisce, aggrega, analizza e memorizza grandi volumi di dati di registri da tutta l’azienda. SIEM ha esordito con un approccio molto ampio, che prevede l’acquisizione di dati di registri ed eventi disponibili da quasi ogni fonte in tutta l’azienda e la loro memorizzazione per renderli disponibili per diversi scenari d’uso: governance, conformità, pattern matching basato su regole, rilevamento euristico/comportamentale delle minacce (come UEBA) e ricerca di indicatori di compromissione atomici nelle varie fonti di telemetria.
Gli strumenti SIEM richiedono tuttavia molto lavoro di messa a punto per l’implementazione e generano un gran numero di avvisi, che può superare le capacità di risposta dei team di sicurezza, inducendoli a ignorare gli avvisi critici. Inoltre, anche se un SIEM acquisisce dati da decine di fonti e sensori, resta uno strumento analitico passivo che si limita a emettere avvisi.
La piattaforma XDR punta a superare le criticità degli strumenti SIEM, consentendo di rilevare e rispondere in modo efficace agli attacchi mirati grazie a funzionalità quali analisi e profiling comportamentali e intelligence sulle minacce.
Che differenza c’è tra XDR e SOAR?
Le piattaforme SOAR (Security Orchestration & Automated Response) sono utilizzate dai team di sicurezza più maturi per creare ed eseguire playbook a più livelli che automatizzano le azioni attraverso un ecosistema di soluzioni di sicurezza interconnesse tramite API. XDR consente invece le integrazioni dell’ecosistema tramite Marketplace e fornisce meccanismi per automatizzare semplici azioni in base a controlli di sicurezza di terze parti.
SOAR è una tecnologia complessa e costosa, che richiede un team di sicurezza specializzato che implementi e gestisca le integrazioni e i playbook dei partner. XDR è progettata come una versione “lite” di SOAR: una soluzione semplice, intuitiva, che non richiede scrittura di codice e che facilita l’azione, dalla piattaforma XDR agli strumenti di sicurezza collegati.
Cos’è MXDR?
MXDR (Managed Extended Detection and Response) estende i servizi MDR in tutta l’azienda, realizzando una soluzione completamente gestita che include analisi e operazioni di sicurezza, threat hunting avanzato, capacità di rilevamento e risposta rapida su endpoint, rete e ambienti cloud.
Un servizio MXDR estende le funzionalità XDR dei clienti con servizi MDR, che aggiungono capacità di monitoraggio, indagine, threat hunting e risposta.
Perché XDR sta prendendo piede e genera interesse?
XDR sostituisce le soluzioni di sicurezza isolate e aiuta le imprese a fronteggiare le sfide della sicurezza informatica in modo unificato. Grazie a un pool unificato di dati grezzi provenienti dall’intero ecosistema, XDR consente un rilevamento e una risposta alle minacce più rapidi, approfonditi ed efficaci rispetto a EDR, in quanto acquisisce e confronta dati da una gamma più ampia di fonti.
XDR offre maggiore visibilità e contesto sulle minacce; incidenti che altrimenti sarebbero stati trascurati vengono fatti emergere e portati all’attenzione dei team di sicurezza, i quali possono quindi correggerli, riducendo l’impatto e la portata dell’attacco.
Generalmente, un attacco ransomware attraversa la rete, finisce in una casella e-mail e quindi attacca l’endpoint. Un approccio alla sicurezza che affronta ognuno di questi passaggi separatamente mette l’organizzazione in una posizione di svantaggio. XDR integra i vari controlli di sicurezza in modo da rendere disponibili azioni di risposta automatizzate o attivabili con un clic sull’intera struttura aziendale in ambito sicurezza, come disabilitare l’accesso di un utente, forzare l’autenticazione a più fattori in caso di sospetta compromissione di un account, bloccare i domini in entrata e gli hash dei file e altro ancora, il tutto tramite regole personalizzate scritte dall’utente o tramite logica incorporata nel motore di risposta prescrittiva.
Grazie a un pool unificato di dati grezzi provenienti dall’intero ecosistema, XDR consente un rilevamento e una risposta alle minacce più rapidi, approfonditi ed efficaci rispetto a EDR, in quanto acquisisce e confronta dati da una gamma più ampia di fonti.
Questa visibilità completa offre diversi vantaggi, come:
- riduzione del tempo medio di rilevamento (MTTD), grazie alla correlazione tra le fonti di dati;
- riduzione del tempo medio di indagine (MTTI), grazie all’accelerazione del triage e dell’indagine e alla delimitazione dell’ambito;
- riduzione del tempo medio di risposta (MTTR), grazie a un’automazione semplice, veloce e pertinente;
- miglioramento della visibilità sull’intera struttura aziendale in ambito sicurezza.
Inoltre, grazie all’intelligenza artificiale e all’automazione, XDR aiuta a ridurre l’onere del lavoro manuale degli analisti della sicurezza. Una soluzione XDR può rilevare in modo proattivo e rapido minacce sofisticate, aumentando la produttività del team di sicurezza e portando a un sostanziale incremento del ROI per l’organizzazione.
In conclusione
Per molte aziende, orientarsi nel panorama dei fornitori non è facile, in particolare quando si cercano soluzioni di rilevamento e risposta. Spesso l’ostacolo più grande è capire cosa offre ciascuna soluzione, in particolare quando la terminologia varia da fornitore a fornitore e gli stessi termini possono avere significati diversi.
Come con qualsiasi nuova tecnologia che fa la sua apparizione sul mercato, il marketing è serrato e gli acquirenti devono fare attenzione a distinguere i fatti dalle promesse. La realtà è che le soluzioni XDR non sono tutte uguali. SentinelOne Singularity XDR unifica ed estende la capacità di rilevamento e risposta su più livelli di sicurezza, fornendo ai team di sicurezza una visibilità centralizzata e completa, potenti funzionalità di analisi e risposta automatizzata su tutto lo stack tecnologico dell’azienda.
Per maggiori informazioni sulla piattaforma SentinelOne Singularity, contattaci o richiedi una demo gratuita.