Che cos'è l'Extended Detection and Response (XDR)?
L'Extended Detection and Response (XDR) è un consolidamento di strumenti e dati che fornisce visibilità, analisi e risposta estese su endpoint, carichi di lavoro, utenti e reti.
L'XDR unifica le funzionalità di sicurezza degli endpoint e dei carichi di lavoro con una visibilità critica sulla rete e sul cloud, riducendo i punti ciechi, rilevando più rapidamente le minacce e automatizzando la correzione tramite un contesto autorevole in questi domini.

SOC a prova di futuro: utilizzo di XDR per ottenere visibilità e controllo unificati

The Impact of XDR in the Modern SOC di ESG
Come funziona l'XDR nella sicurezza?
L'XDR è fondamentalmente un consolidamento di strumenti e dati e rappresenta un importante passo avanti nelle funzionalità per la sicurezza aziendale. Poiché l'XDR ha accesso ai dati non elaborati raccolti nell'ambiente, è in grado di rilevare attori malevoli che utilizzano software legittimo per accedere al sistema (cosa che il software di gestione degli eventi e delle informazioni sulla sicurezza, o SIEM, spesso non è in grado di fare). L'XDR esegue l'analisi e la correlazione automatizzate dei dati delle attività, consentendo ai team di sicurezza di contenere le minacce in modo più efficace. È ad esempio in grado di coprire rilevamenti di rete, spostamenti laterali, connessioni anomale, beacon, esfiltrazione e distribuzione di artefatti malevoli.
Analogamente all'Endpoint Detection and Response (EDR), l'XDR risponde alla minaccia per contenerla e rimuoverla. Tuttavia, il livello superiore di raccolta dei dati e integrazione con l'ambiente dell'XDR consente di rispondere in modo più efficace alla risorsa interessata. Le vere piattaforme XDR forniscono la visibilità e il contesto olistici di cui gli analisti della sicurezza hanno bisogno per rispondere alle minacce in modo mirato ed efficace. Questa risposta su misura aiuta a contenere non solo la minaccia stessa, ma anche l'impatto della risposta sui sistemi, ad esempio riducendo il downtime sui server critici.
L'XDR è composto da tre parti: telemetria e analisi dei dati, rilevamento e risposta.
- Telemetria e analisi dei dati: l'XDR monitora e raccoglie i dati su più layer di sicurezza, tra cui endpoint, rete, server e cloud. L'analisi dei dati viene utilizzata per correlare il contesto di migliaia di avvisi da questi layer in modo da far emergere un numero inferiore di avvisi ad alta priorità, contribuendo a evitare il sovraccarico dei team di sicurezza.
- Rilevamento: la visibilità superiore dell'XDR consente di vagliare gli avvisi e segnalare quelli che richiedono una risposta. La stessa visibilità consente di creare basi di confronto del comportamento normale all'interno di un ambiente per consentire il rilevamento di minacce che utilizzano al meglio software, porte e protocolli e di indagare sull'origine della minaccia per impedire che influisca su altre parti del sistema.
- Risposta: proprio come l'EDR, l'XDR ha la capacità di contenere e rimuovere le minacce rilevate, nonché di aggiornare le policy di sicurezza per impedire il ripetersi di violazioni simili. Tuttavia, a differenza dell'EDR, che svolge questa funzione solo su endpoint e carichi di lavoro, l'XDR va oltre la protezione degli endpoint per rispondere alle minacce in tutti i punti di controllo della sicurezza che tocca, dalla sicurezza dei container alle reti e ai server.
Quali sono i vantaggi dell'XDR?
Le funzionalità dell'XDR vanno ben oltre quelle dell'EDR, offrendo diversi vantaggi tangibili per la protezione dell'ambiente IT di un'organizzazione, tra cui:
- Maggiori visibilità e contesto: a differenza dell'EDR (che si limita agli endpoint e ai carichi di lavoro) e dei servizi di sicurezza di terze parti (che spesso hanno una visione limitata), l'XDR offre una vista completa a 360 gradi dell'ambiente di sicurezza. Consente agli analisti della sicurezza di vedere le minacce, anche quelle che sfruttano software, porte e protocolli legittimi per ottenere l'accesso, su qualsiasi layer di sicurezza, nonché il modo in cui si è verificato un attacco, il blueprint, il punto di ingresso, gli altri soggetti interessati, dove ha avuto origine la minaccia e come si è diffusa. Questo contesto aggiuntivo, così come le funzionalità di analisi necessarie per comprenderlo, è cruciale per una rapida risposta alle minacce.
- Definizione delle priorità: i team IT e di sicurezza spesso hanno difficoltà a tenere il passo con le migliaia di avvisi generati dai loro servizi di sicurezza. Le funzionalità di analisi e correlazione dei dati dell'XDR consentono di raggruppare gli avvisi correlati nel framework MITRE ATT&CK, assegnare loro la priorità e far emergere solo quelli più importanti.
- Automazione: l'utilizzo dell'automazione da parte dell'XDR accelera il rilevamento e la risposta ed elimina i passaggi manuali dai processi di sicurezza, consentendo ai team IT di gestire un grande volume di dati di sicurezza ed eseguire processi complessi in modo ripetibile.
- Efficienza operativa: invece di una raccolta frammentata di strumenti di sicurezza, l'XDR fornisce una visione olistica delle minacce nell'intero ambiente. Offre funzionalità di raccolta dei dati e risposta centralizzate strettamente integrate nell'ambiente e in un ecosistema di sicurezza più ampio.
- Rilevamento e risposta più rapidi: tutti questi vantaggi si sommano a un livello di sicurezza più solido ed efficace. La maggiore efficienza dell'XDR consente di rilevare e affrontare le minacce più rapidamente, un aspetto cruciale nel panorama della sicurezza odierno.
- Risposte più sofisticate: l'EDR tradizionale spesso risponde a una minaccia mettendo in quarantena l'endpoint interessato, il che va bene quando tale endpoint è un dispositivo dell'utente, ma potrebbe rappresentare un problema quando è un server critico a essere infettato. Le funzionalità più sofisticate e la maggiore visibilità dell'XDR consentono di personalizzare la risposta in base al sistema specifico e di sfruttare altri punti di controllo per ridurre al minimo l'impatto complessivo.
Quali sono i casi d'uso dell'XDR?
- Ricerca delle minacce: anche se è probabile che le minacce siano già presenti in una determinata rete, molti team di sicurezza hanno difficoltà a trovare il tempo per eseguire una ricerca proattiva delle minacce. Le funzionalità di telemetria e automazione dell'XDR consentono di eseguire automaticamente gran parte di questo lavoro, alleggerendo in modo significativo il carico sui team di sicurezza e consentendo loro di eseguire la ricerca delle minacce insieme alle altre attività, in modo da intervenire solo quando necessario.
- Triage: una delle funzioni più importanti di un team di sicurezza è assegnare la priorità agli avvisi o eseguirne il triage e rispondere rapidamente a quelli più cruciali. L'XDR aiuta a vagliare il rumore utilizzando potenti funzionalità di analisi per correlare migliaia di avvisi in un numero ridotto di avvisi ad alta priorità.
- Indagine: l'ampia raccolta di dati, la visibilità superiore e l'analisi automatizzata dell'XDR consentono ai team di sicurezza di stabilire rapidamente e facilmente l'origine di una minaccia, come si è diffusa e quali altri utenti o dispositivi potrebbero essere interessati. Ciò è fondamentale sia per rimuovere la minaccia sia per rafforzare la rete contro le minacce future.
Quali sono gli errori dell'XDR da evitare?
L'XDR è una potente strategia di sicurezza, ma per sfruttarne appieno i vantaggi è importante scegliere una soluzione che utilizzi al meglio le sue funzionalità. Quando si sceglie una piattaforma, occorre prestare attenzione ai seguenti problemi:
- Mancanza di integrazione: l'XDR è efficace solo quando è completamente integrato nell'ambiente IT. Le integrazioni complesse che richiedono lavoro di manutenzione potrebbero sottrarre tempo ai team IT e rendere la soluzione XDR meno efficace.
- Automazione insufficiente: l'automazione è una delle funzionalità più potenti dell'XDR, quindi una piattaforma efficace deve essere in grado di adattarsi alle condizioni attuali e fornire una risposta mirata che vada oltre il semplice blocco del traffico verso il dispositivo interessato.
- Complessità operativa: una soluzione XDR utile deve essere coerente e accessibile ai team di sicurezza e IT. In caso contrario, il tempo che il team guadagna con l'implementazione sarà controbilanciato dal tempo e dall'impegno dedicati all'apprendimento e alla configurazione.
Cosa si intende per rilevamento e risposta nell'ambito della sicurezza informatica?
La tecnologia di rilevamento e risposta si serve del monitoraggio continuo dei sistemi in tempo reale per rilevare le potenziali minacce e analizzarle. Un sistema di rilevamento e risposta utilizza poi l'automazione per contenere ed eliminare tali minacce.
Oggi esistono diversi tipi di soluzioni di rilevamento e risposta, tra cui:
- EDR (Endpoint Detection and Response): l'EDR monitora e affronta le minacce sugli endpoint. È stato il primo tipo di sistema di rilevamento e risposta e, rispetto alle precedenti tecnologie di sicurezza, consente una migliore visibilità e una risposta più rapida alle minacce. Inoltre, vanta un migliore rilevamento del malware che gli consente di rilevare le minacce più sofisticate, come il malware fileless. Tuttavia, il suo ambito è limitato alla sicurezza degli endpoint e dei carichi di lavoro, il che rende difficile mettere in correlazione le minacce in un ambiente complesso.
- NDR (Network Detection and Response): l'NDR esegue la scansione delle minacce all'interno della rete e distribuisce una risposta quando rileva una minaccia. Questo tipo di rilevamento e risposta si concentra sulla rete interna, consentendo ai team di sicurezza di vedere le minacce che hanno violato il perimetro. L'NDR dovrebbe utilizzare più tecnologie combinate tra loro, tra cui NTA, IDPS, sandbox di rete con apprendimento automatico con e senza supervisione, per distinguere le attività malevole da quelle che invece non lo sono oltre l'endpoint.
- MDR (Managed Detection and Response): la tecnologia MDR viene eseguita come servizio in outsourcing, in cui professionisti esterni svolgono attività di rilevamento e risposta sui sistemi di un'organizzazione, spesso con l'uso di strumenti EDR e NDR. Questa può essere una buona opzione per le organizzazioni che non dispongono delle competenze o delle risorse interne per rendere operativi gli strumenti di rilevamento e risposta. A differenza di altri servizi di sicurezza in outsourcing, come gli MSSP (Managed Security Service Provider), i servizi MDR sono incentrati sul rilevamento e sulla risposta alle minacce più recenti rilevate sugli endpoint, sui carichi di lavoro e all'interno della rete.
Qual è la differenza tra XDR e EDR?
L'XDR estende le funzionalità dell'EDR a tutti i layer di sicurezza dell'ambiente: carichi di lavoro, dispositivi, utenti e reti.
Anziché fornire un singolo punto di vista come l'EDR, l'XDR offre telemetria e analisi comportamentale su più layer di sicurezza, consentendo ai team di sicurezza di avere una visione d'insieme.
I malintenzionati non limitano i loro attacchi a un singolo layer di sicurezza e i team di sicurezza non possono permettersi di limitare la loro vista a un unico layer. L'EDR offre ai professionisti della sicurezza visibilità sugli endpoint che potrebbero essere compromessi, ma questo non è sufficiente quando un attacco si è già esteso sulla rete e ha coinvolto altri sistemi nel tempo necessario al team di sicurezza per rendersene conto. È qui che entra in gioco l'XDR. Fornendo una visione olistica dell'attività nel sistema che evita lacune di visibilità, l'XDR consente ai team di sicurezza di capire da dove proviene una minaccia e come si sta diffondendo nell'ambiente, al fine di eliminarla. In altre parole, l'XDR offre maggiori funzionalità di analisi e correlazione e un punto di vista olistico.
Soluzioni e prodotti correlati
VMware Carbon Black Cloud
Trasforma la tua sicurezza con la protezione intelligente dei carichi di lavoro e degli endpoint che si adatta alle tue esigenze.
VMware Carbon Black EDR
Endpoint Detection and Response (EDR) on-premise.
VMware NSX Network Detection and Response
Network Detection and Response (NDR) basato sull'intelligenza artificiale