Che cos'è l'Extended Detection and Response (XDR)?

L'Extended Detection and Response (XDR) è un consolidamento di strumenti e dati che fornisce visibilità, analisi e risposta estese su endpoint, carichi di lavoro, utenti e reti.

L'XDR unifica le funzionalità di sicurezza degli endpoint e dei carichi di lavoro con una visibilità critica sulla rete e sul cloud, riducendo i punti ciechi, rilevando più rapidamente le minacce e automatizzando la correzione tramite un contesto autorevole in questi domini.

L'XDR è fondamentalmente un consolidamento di strumenti e dati e rappresenta un importante passo avanti nelle funzionalità per la sicurezza aziendale. Poiché l'XDR ha accesso ai dati non elaborati raccolti nell'ambiente, è in grado di rilevare attori malevoli che utilizzano software legittimo per accedere al sistema (cosa che il software di gestione degli eventi e delle informazioni sulla sicurezza, o SIEM, spesso non è in grado di fare). L'XDR esegue l'analisi e la correlazione automatizzate dei dati delle attività, consentendo ai team di sicurezza di contenere le minacce in modo più efficace. È ad esempio in grado di coprire rilevamenti di rete, spostamenti laterali, connessioni anomale, beacon, esfiltrazione e distribuzione di artefatti malevoli.

Analogamente all'Endpoint Detection and Response (EDR), l'XDR risponde alla minaccia per contenerla e rimuoverla. Tuttavia, il livello superiore di raccolta dei dati e integrazione con l'ambiente dell'XDR consente di rispondere in modo più efficace alla risorsa interessata. Le vere piattaforme XDR forniscono la visibilità e il contesto olistici di cui gli analisti della sicurezza hanno bisogno per rispondere alle minacce in modo mirato ed efficace. Questa risposta su misura aiuta a contenere non solo la minaccia stessa, ma anche l'impatto della risposta sui sistemi, ad esempio riducendo il downtime sui server critici.

L'XDR è composto da tre parti: telemetria e analisi dei dati, rilevamento e risposta.

• Telemetria e analisi dei dati: l'XDR monitora e raccoglie i dati su più layer di sicurezza, tra cui endpoint, rete, server e cloud. L'analisi dei dati viene utilizzata per correlare il contesto di migliaia di avvisi da questi layer in modo da far emergere un numero inferiore di avvisi ad alta priorità, contribuendo a evitare il sovraccarico dei team di sicurezza.
• Rilevamento: la visibilità superiore dell'XDR consente di vagliare gli avvisi e segnalare quelli che richiedono una risposta. La stessa visibilità consente di creare basi di confronto del comportamento normale all'interno di un ambiente per consentire il rilevamento di minacce che utilizzano al meglio software, porte e protocolli e di indagare sull'origine della minaccia per impedire che influisca su altre parti del sistema.
• Risposta: proprio come l'EDR, l'XDR ha la capacità di contenere e rimuovere le minacce rilevate, nonché di aggiornare le policy di sicurezza per impedire il ripetersi di violazioni simili. Tuttavia, a differenza dell'EDR, che svolge questa funzione solo su endpoint e carichi di lavoro, l'XDR va oltre la protezione degli endpoint per rispondere alle minacce in tutti i punti di controllo della sicurezza che tocca, dalla sicurezza dei container alle reti e ai server.

Le funzionalità dell'XDR vanno ben oltre quelle dell'EDR, offrendo diversi vantaggi tangibili per la protezione dell'ambiente IT di un'organizzazione, tra cui:

• Maggiori visibilità e contesto: a differenza dell'EDR (che si limita agli endpoint e ai carichi di lavoro) e dei servizi di sicurezza di terze parti (che spesso hanno una visione limitata), l'XDR offre una vista completa a 360 gradi dell'ambiente di sicurezza. Consente agli analisti della sicurezza di vedere le minacce, anche quelle che sfruttano software, porte e protocolli legittimi per ottenere l'accesso, su qualsiasi layer di sicurezza, nonché il modo in cui si è verificato un attacco, il blueprint, il punto di ingresso, gli altri soggetti interessati, dove ha avuto origine la minaccia e come si è diffusa. Questo contesto aggiuntivo, così come le funzionalità di analisi necessarie per comprenderlo, è cruciale per una rapida risposta alle minacce.
• Definizione delle priorità: i team IT e di sicurezza spesso hanno difficoltà a tenere il passo con le migliaia di avvisi generati dai loro servizi di sicurezza. Le funzionalità di analisi e correlazione dei dati dell'XDR consentono di raggruppare gli avvisi correlati nel framework MITRE ATT&CK, assegnare loro la priorità e far emergere solo quelli più importanti.
• Automazione: l'utilizzo dell'automazione da parte dell'XDR accelera il rilevamento e la risposta ed elimina i passaggi manuali dai processi di sicurezza, consentendo ai team IT di gestire un grande volume di dati di sicurezza ed eseguire processi complessi in modo ripetibile.
• Efficienza operativa: invece di una raccolta frammentata di strumenti di sicurezza, l'XDR fornisce una visione olistica delle minacce nell'intero ambiente. Offre funzionalità di raccolta dei dati e risposta centralizzate strettamente integrate nell'ambiente e in un ecosistema di sicurezza più ampio.
• Rilevamento e risposta più rapidi: tutti questi vantaggi si sommano a un livello di sicurezza più solido ed efficace. La maggiore efficienza dell'XDR consente di rilevare e affrontare le minacce più rapidamente, un aspetto cruciale nel panorama della sicurezza odierno.
• Risposte più sofisticate: l'EDR tradizionale spesso risponde a una minaccia mettendo in quarantena l'endpoint interessato, il che va bene quando tale endpoint è un dispositivo dell'utente, ma potrebbe rappresentare un problema quando è un server critico a essere infettato. Le funzionalità più sofisticate e la maggiore visibilità dell'XDR consentono di personalizzare la risposta in base al sistema specifico e di sfruttare altri punti di controllo per ridurre al minimo l'impatto complessivo.