Il settore della sicurezza informatica è pieno di gergo, abbreviazioni e acronimi. Con il moltiplicarsi di vettori di attacco sofisticati, dagli endpoint alle reti al cloud, molte aziende stanno adottando un nuovo approccio per contrastare le minacce avanzate: Extended Detection and Response, che ha dato origine a un altro acronimo: XDR. E mentre XDR ha ha guadagnato molta popolarità quest'anno tra i leader del settore e la comunità degli analisti, l'XDR è ancora un concetto in evoluzione e, come tale, c'è confusione sull'argomento.
- Che cos'è l'XDR?
- In che modo l'XDR differisce dall'EDR?
- È uguale al SIEM e al SOAR?
In qualità di leader nel mercato EDR e pioniere nella tecnologia XDR emergente, ci viene spesso chiesto di chiarire cosa significa e in che modo può aiutare a ottenere risultati migliori per i clienti. Questo post ha lo scopo di chiarire alcune domande comuni su XDR e le differenze rispetto a EDR, SIEM e SOAR.
Che cos'è l'EDR?
L'EDR offre alle organizzazioni la possibilità di monitorare gli endpoint alla ricerca di comportamenti sospetti e di registrare ogni singola attività ed evento. Successivamente, correla le informazioni per fornire un contesto critico per rilevare minacce avanzate e infine esegue attività di risposta automatizzate, come l'isolamento di un endpoint infetto dalla rete quasi in tempo reale.
Che cos'è l'XDR?
XDR è l'evoluzione dell'EDR, Endpoint Detection and Response. Mentre l'EDR raccoglie e correla le attività su più endpoint, l'XDR amplia l'ambito di rilevamento oltre gli endpoint per fornire rilevamento, analisi e risposta su endpoint, reti, server, carichi di lavoro cloud, SIEM e molto altro ancora.
Ciò fornisce una visione unificata e centralizzata su più strumenti e vettori di attacco. Questa maggiore visibilità fornisce una contestualizzazione di queste minacce per facilitare il triage, le indagini e gli interventi di risoluzione rapida.
XDR raccoglie e correla automaticamente i dati su più vettori di sicurezza, facilitando un rilevamento più rapido delle minacce in modo che gli analisti della sicurezza possano rispondere rapidamente prima che la portata della minaccia si ampli. Le integrazioni pronte all'uso e i meccanismi di rilevamento preconfigurati su più prodotti e piattaforme diversi contribuiscono a migliorare la produttività, il rilevamento delle minacce e l'analisi forense.
In breve, XDR si estende oltre l'endpoint per prendere decisioni basate sui dati provenienti da più prodotti e può agire su tutto lo stack intervenendo su e-mail, rete, identità e altro ancora.
In che modo XDR è diverso da SIEM?
Quando parliamo di XDR, alcune persone pensano che stiamo descrivendo uno strumento di gestione delle informazioni e degli eventi di sicurezza (SIEM) in modo diverso. Ma XDR e SIEM sono due cose diverse.
Il SIEM raccoglie, aggrega, analizza e archivia grandi volumi di dati di log provenienti da tutta l'azienda. Il SIEM ha iniziato il suo percorso con un approccio molto ampio: raccogliere i dati di log e di evento disponibili da quasi tutte le fonti dell'azienda per archiviarli per diversi casi d'uso. Questi includevano governance e conformità, corrispondenza di modelli basata su regole, rilevamento euristico/comportamentale delle minacce come UEBA e ricerca di IOC o indicatori atomici tra le fonti di telemetria.
Gli strumenti SIEM, tuttavia, richiedono molte regolazioni e sforzi per essere implementati. I team di sicurezza possono anche essere sopraffatti dall'enorme numero di avvisi provenienti da un SIEM, causando l'ignoranza di avvisi critici da parte del SOC. Inoltre, anche se un SIEM acquisisce dati da dozzine di fonti e sensori, rimane comunque uno strumento analitico passivo che emette avvisi.
La piattaforma XDR mira a risolvere le sfide dello strumento SIEM per un rilevamento e una risposta efficaci agli attacchi mirati e include analisi comportamentale, informazioni sulle minacce, profilazione comportamentale e analisi.
In che modo XDR è diverso da SOAR?
Le piattaforme SOAR (Security Orchestration & Automated Response) sono utilizzate da team di sicurezza maturi per costruire ed eseguire playbook multistadio che automatizzano le azioni in un ecosistema di soluzioni di sicurezza connesse tramite API. Al contrario, XDR consentirà l'integrazione dell'ecosistema tramite Marketplace e fornirà meccanismi per automatizzare azioni semplici contro i controlli di sicurezza di terze parti.
SOAR è complesso, costoso e richiede un SOC altamente maturo per implementare e mantenere le integrazioni dei partner e i playbook. XDR è pensato per essere una versione "SOAR-lite": una soluzione semplice, intuitiva e senza codice che fornisce funzionalità operative dalla piattaforma XDR agli strumenti di sicurezza collegati.
Che cos'è MXDR?
Il rilevamento e la risposta estesi gestiti (MXDR) estende i servizi MDR a tutta l'azienda per ottenere una soluzione completamente gestita che include analisi e operazioni di sicurezza, ricerca avanzata delle minacce, rilevamento e risposta rapida su endpoint, rete e ambienti cloud.
Un servizio MXDR potenzia le capacità XDR del cliente con servizi MDR per ulteriori capacità di monitoraggio, indagini, ricerca delle minacce e risposta.
Perché l'XDR sta guadagnando terreno e generando interesse?
L'XDR sostituisce la sicurezza a compartimenti stagni e aiuta le organizzazioni ad affrontare le sfide della sicurezza informatica da un punto di vista unificato. Con un unico pool di dati grezzi che comprende informazioni provenienti dall'intero ecosistema, l'XDR consente un rilevamento e una risposta alle minacce più rapidi, approfonditi ed efficaci rispetto all'EDR, raccogliendo e confrontando dati provenienti da una gamma più ampia di fonti.
XDR offre maggiore visibilità e contesto sulle minacce; gli incidenti che altrimenti non sarebbero stati affrontati prima emergeranno con un livello di consapevolezza più elevato, consentendo ai team di sicurezza di porre rimedio e ridurre qualsiasi ulteriore impatto e minimizzare la portata dell'attacco.
Un tipico attacco ransomware attraversa la rete, arriva nella casella di posta elettronica e poi attacca l'endpoint. Affrontare la sicurezza considerando ciascuno di questi aspetti in modo indipendente mette le organizzazioni in una posizione di svantaggio. XDR integra controlli di sicurezza disparati per fornire azioni di risposta automatizzate o con un solo clic in tutto il patrimonio di sicurezza aziendale, come la disabilitazione dell'accesso degli utenti, l'autenticazione a più fattori forzata in caso di sospetta compromissione dell'account, il blocco dei domini in entrata e degli hash dei file e altro ancora, il tutto tramite regole personalizzate scritte dall'utente o dalla logica integrata nel motore di risposta prescrittivo.
Questa visibilità completa offre numerosi vantaggi, tra cui:
- Riduzione del tempo medio di rilevamento (MTTD) grazie alla correlazione tra le fonti di dati.
- Riduzione del tempo medio di indagine (MTTI) grazie all'accelerazione del triage e alla riduzione dei tempi di indagine e analisi.
- Riduzione del tempo medio di risposta (MTTR) grazie a un'automazione semplice, veloce e pertinente.
- Miglioramento della visibilità sull'intero patrimonio di sicurezza.
Inoltre, grazie all'intelligenza artificiale e all'automazione, l'XDR contribuisce a ridurre il carico di lavoro manuale degli analisti della sicurezza. Una soluzione XDR è in grado di rilevare in modo proattivo e rapido minacce sofisticate, aumentando la produttività del team di sicurezza o SOC e garantendo un notevole aumento del ROI per l'organizzazione.
Liberare il rilevamento e la risposta con l'intelligenza artificiale
Scoprite e riducete le minacce alla velocità della macchina con una piattaforma XDR unificata per l'intera azienda.
Richiedi una demoConsiderazioni finali
Orientarsi nel panorama dei fornitori è difficile per molte aziende, in particolare quando si tratta di soluzioni di rilevamento e risposta. Spesso l'ostacolo più grande è capire cosa offre ciascuna soluzione, soprattutto quando la terminologia varia da fornitore a fornitore e può assumere significati diversi.
Come per qualsiasi nuova tecnologia che entra nel mercato, c'è molto clamore e gli acquirenti devono essere prudenti. La realtà è che non tutte le soluzioni XDR sono uguali. SentinelOne Singularity XDR unifica ed estende le capacità di rilevamento e risposta su più livelli di sicurezza, fornendo ai team di sicurezza una visibilità aziendale centralizzata end-to-end, potenti analisi e risposte automatizzate su tutto lo stack tecnologico.
"Domande frequenti su SIEM vs SOAR vs XDR vs EDR
Il SIEM raccoglie i log da firewall, server e app, quindi genera avvisi e report di conformità. SOAR si integra a tale stack e trasforma gli avvisi in runbook automatizzati che chiudono i ticket o bloccano gli IP senza l'intervento umano.
EDR risiede sugli endpoint, monitora i processi ed elimina il malware a livello locale. XDR amplia la visione integrando endpoint, e-mail, cloud e telemetria di rete in un'unica console di ricerca per garantire rilevamento e risposta unificati.
L'EDR tiene sotto controllo ogni host: scrittura di file, alberi di processo, modifiche al registro, oltre ad azioni di isolamento o cancellazione. L'XDR fonde i dati degli endpoint con i segnali provenienti dai gateway di posta elettronica, dai servizi di identità, dai carichi di lavoro cloud e dalla rete, quindi correla gli eventi cross-layer per esporre una campagna in un'unica vista. In breve, l'EDR difende il laptop; l'XDR difende l'intero patrimonio.
L'EDR reagisce più rapidamente quando una minaccia risiede solo su un dispositivo dell'utente finale. SIEM eccelle se si dispone già di ogni fonte di log con regole ottimizzate, ma può sommergere l'utente di rumore. XDR si colloca a metà strada: correla automaticamente i segnali multistrato fin da subito, fornendo meno falsi positivi rispetto a un SIEM grezzo e una visibilità più ampia rispetto a un EDR puro, quindi la maggior parte dei team ottiene avvisi più precisi con XDR.
Scegli SOAR quando gli analisti sono sommersi da un triage ripetitivo degli avvisi. Se il tuo SIEM genera già migliaia di ticket, SOAR ti consente di collegare playbook che arricchiscono, danno priorità e chiudono automaticamente gli allarmi a basso rischio, unendo i blocchi del firewall e le fasi di disabilitazione degli utenti in un unico flusso. Senza quel livello di automazione, un SIEM può riempire la coda più velocemente di quanto tu possa cliccare.
Le PMI di solito iniziano con l'EDR; è più leggero da implementare, ha un prezzo per endpoint e vince rapidamente contro il ransomware. Quando l'azienda aggiunge applicazioni cloud o siti remoti, XDR diventa interessante perché integra tali feed nella stessa console senza richiedere personale aggiuntivo.
Se il budget è limitato e la superficie di attacco è semplice, è consigliabile continuare a utilizzare EDR; quando i segnali si moltiplicano, è opportuno passare a XDR.
Sì, se il team impiega ore a integrare questi strumenti. L'XDR acquisisce gli stessi dati degli endpoint, li arricchisce con feed cloud ed e-mail e mostra un unico incidente prioritario invece di dieci avvisi separati. Molte piattaforme sincronizzano persino le regole con il vostro SIEM.
Se il vostro SOC correla già i log senza problemi e la fatica da allarmi è bassa, potete aspettare e risparmiare la spesa.
