Gli acronimi, per gli strumenti e i servizi di cybersecurity, servono a classificare le capacità e le caratteristiche che ci si deve aspettare quando si affrontano sfide nel campo della sicurezza. Pur avendo lo scopo di semplificare il processo di selezione, spesso disorientano i potenziali utenti che si trovano a valutare per scegliere. XDR, o extended detection and response, resta sempre un acronimo importante da conoscere.
È importante capire se le funzionalità XDR sono adatte alle proprie esigenze. L’acronimo con la “X” di extended indica l’intenzione di estendere il DR a tutta l’organizzazione e di interconnettere le fonti di rilevamento con il response controller. Si tratta di uno passaggio che tutti si trovano ad affrontare, quindi non c’è da stupirsi se inizialmente i provider di servizi di sicurezza sono saliti sul carro dell’XDR.
La legge del mercato, certo, ma ciò ha portato a un’ampia gamma di prodotti XDR, tutti con funzionalità diverse. Per gli utenti, ciò significa caos, indecisione e il rischio di arrivare a una sorta di immobilismo.
Un modo per ridurre questa confusione è quello di concentrarsi sui risultati solo in ambito cybersecurity. I risultati chiave dell’XDR dovrebbero essere i seguenti:
- visibilità completa dell’ambiente IT e degli strumenti;
- riduzione della probabilità di compromissione grazie alla conoscenza del rischio
- riduzione dell’impatto della compromissione grazie alla rapidità di rilevamento e risposta alle minacce
Può suonare tutto molto familiare: come sempre gli acronimi variano, ma gli obiettivi della sicurezza rimangono sempre gli stessi. Ciò che si può fare è cercare di conoscere al meglio le varianti di XDR oggi sul mercato, e valutarle rispetto ai risultati di sicurezza desiderati.
Definizione e offerta di XDR
Gartner definisce l’XDR come una piattaforma che “integra, correla e contestualizza i dati e gli avvisi provenienti da più componenti di prevenzione, detection e risposta alla sicurezza”. L’obiettivo dell’XDR è anche quello di ridurre il numero dei prodotti acquisiti, la quantità di alert, i problemi di integrazione e i costi operativi.
I tre elementi fondamentali di XDR sono i seguenti:
- Ampia copertura, visto che c’è più di una fonte di telemetria.
- Riferimento centrale per l’analisi, con visibilità su raccolta dati, processi, alert e flussi di lavoro.
- Automazione, grazie a workflow che portano a decisioni più rapide per coordinare le risposte tra più strumenti.
Questa definizione di alto livello dà luogo a interpretazioni anche estremamente contrastanti, per cui è difficile distinguere un provider di XDR valido, dai tanti che fanno questo tipo di offerte, facendo semplicemente leva sull’acronimo. Inizialmente intesi come un’evoluzione del rilevamento e della risposta agli endpoint (EDR), i prodotti SIEM maturi soddisfano anche i criteri XDR. Di conseguenza, diversi provider di SIEM, dichiarano di offrire XDR.
Esaminiamo le più comuni varianti attuali di ciò che viene offerto con l’acronimo XDR:
- EDR+ — endpoint + telemetria/dati + risposta dell’endpoint. Questo tipo di XDR, che è spesso il percorso dei fornitori di EDR, porta un’altra fonte di telemetria o di dati a un endpoint esistente. Sebbene questo approccio possa sembrare semplice, perché ottimizza gli investimenti EDR già effettuati, non è detto che garantisca la copertura dell’intero ambiente IT. Molto dipende dalle fonti di dati e dai punti di telemetria aggiuntivi utilizzati.
- SIEM+ — SIEM + logs + analytics. Per chi ha una struttura di sicurezza robusta, questa opzione SIEM-centrica offre flessibilità e scalabilità. Il SIEM può includere integrazioni di risposta o arricchimenti di indagini automatizzate, anche per soddisfare i requisiti di automation. Le criticità di questa opzione riguardano le lunghe implementazioni, i numerosi processi per i moduli aggiuntivi che devono essere integrati nei processi esistenti e la disponibilità del team interno di fare aggiornamenti frequenti per adeguarsi sempre alle policy dell’organizzazione.
- Comprehensive — endpoint + telemetria/dati + log + analytics + sistema di rilevamento delle intrusioni + monitoraggio dell’integrità dei file + risposta (identità, endpoint e firewall/web application firewall). Questo approccio offre visibilità sull’intero ambiente IT. Combina prevenzione e rilevamento, affrontando sfide note e sconosciute. I numerosi strumenti coinvolti possono richiedere la collaborazione tra team per ottimizzare le competenze nel gestire l’ambiente, per generare i risultati migliori.
Valutazione dell’XDR rispetto ai risultati
Valutiamo queste opzioni XDR rispetto ai risultati chiave menzionati in precedenza.
Risultato 1
EDR+ non riesce a fornire una visibilità completa dell’ambiente IT e degli strumenti a disposizione. Permette solo una visione ristretta, che soddisfa a malapena la definizione XDR di Gartner.
Comprehensive è in testa per quanto riguarda la visibilità, SIEM+ non è da meno, ma offre visibilità sul traffico di rete attraverso il sistema di rilevamento delle intrusioni.
Risultati 2 e 3
Questi risultati XDR sono direttamente collegati alla visibilità e agli strumenti IT, il che, ancora una volta, non è una buona notizia per l’EDR+.
L’esecuzione di analisi su molte fonti di dati è fondamentale per garantire la visibilità di tutte le aree che presentano rischi. Le mitigazioni possono essere decise in base all’importanza percepita del rischio e alle risorse disponibili. Per esempio, quelle business-critical richiedono il più basso livello di rischio accettabile. I sistemi SIEM+ e Comprehensive XDR hanno performance simili, in questo caso, a patto che siano integrate con le analisi di valutazione dell’esposizione, anche nativamente.
Per quanto riguarda il rilevamento e la risposta alle minacce, EDR+ è una buona opzione per quelle sugli endpoint, ma trascura aree come le credenziali compromesse e la sicurezza del cloud. SIEM+ è in grado di identificare una gamma più ampia di minacce, ma si basa eccessivamente sui log e manca di automazione nella fase response. Comprehensive esegue l’analisi di un’ampia gamma di fonti e le collega ai meccanismi di risposta, per reagire più rapidamente alle minacce.
Sebbene l’acronimo XDR possa essere utilizzato per descrivere una serie di approcci diversi alla sicurezza, i prodotti XDR da soli non compensano la carenza di competenze del personale e non ci liberano dall’onere di effettuare tutti i task di security.
Realizzare il valore di XDR
Quando si valutano prodotti con molte funzionalità come XDR, è facile farsi attirare dal loro potenziale valore in termini di sicurezza. L’XDR è un passo positivo verso la centralizzazione della visibilità, della gestione dei dati e dei controlli di sicurezza, ma non è una bacchetta magica. Serve sempre un impegno operativo quotidiano per garantire protezione.
È necessario, quindi, valutare in modo pragmatico il valore delle offerte, in base alle risorse, alle competenze e alla sicurezza che possono garantire. Per ottimizzare il valore offerto dall’XDR, è necessario affiancargli altri servizi come ricerca di nuove minacce, monitoraggio costante e continuo, advanced analytics, check di ogni alert, analisi dei registri, riduzione dei falsi positivi e azionable insights.
