eXtended Detection and Response (XDR)
Il trend degli attacchi cyber mostra una crescita costante non solo in termini di volumi ma anche in termini di sofisticazione. Ogni organizzazione, specialmente se di piccola e media dimensione, non può far fronte da sola alle criticità derivanti dal monitoraggio della propria postura di sicurezza.
I sistemi XDR (eXtended Detection and Response) sono soluzioni di sicurezza che vanno oltre le “semplici” soluzioni di Endpoint Protection e EDR (Endpoint Detection and Response), integrando queste ultime con componenti per il controllo anche dei gateway di posta elettronica, dei servizi cloud e degli accessi.
I sistemi eXtended Detection and Response
Un XDR è uno strumento SaaS che offre una sicurezza olistica ottimizzata, integrando dati e prodotti di sicurezza in soluzioni semplificate. Mentre le aziende affrontano sempre di più un panorama di minacce in continua evoluzione e sfide complesse per la sicurezza con dipendenti in ambienti ibridi multi-cloud, l’XDR rappresenta una soluzione proattiva più efficiente.
A differenza di sistemi EDR (Endpoint Detection and Response), gli XDR ampliano l’ambito della sicurezza, integrando la protezione in una vasta serie di prodotti, tra cui gli endpoint di un’organizzazione, i server, le applicazioni cloud, le email e altro. Un XDR combina prevenzione, rilevamento, indagine e risposta, fornendo visibilità, analisi, avvisi sugli incidenti correlati e risposte automatizzate per migliorare la sicurezza dei dati e combattere le minacce.
È importante usufruire di servizi XDR gestiti professionalmente e integrati in un SOC, in particolare nei casi di aziende piccole, medie o non strutturate, le quali spesso non hanno ingenti capacità di staff o infrastrutturali per gestire correttamente la sicurezza dei propri apparati.
Infatti, un servizio gestito ed integrato in un SOC allevia l’onere delle attività operative associate al monitoraggio, rilevazione e risposta ad attacchi cyber e riduce sensibilmente le spese associate alla gestione delle tecnologie, consentendo alle aziende di focalizzarsi sulle proprie attività “day-to-day” principali.
Come funziona un XDR?
L’XDR è fondamentalmente un consolidamento di strumenti e dati e rappresenta un importante passo avanti nelle funzionalità per la sicurezza aziendale.
Poiché l’XDR ha accesso ai dati non elaborati raccolti nell’ambiente, è in grado di rilevare attori malevoli che utilizzano software legittimo per accedere al sistema (cosa che il software di gestione degli eventi e delle informazioni sulla sicurezza, o SIEM, spesso non è in grado di fare).
L’XDR esegue l’analisi e la correlazione automatizzate dei dati delle attività, consentendo ai team di sicurezza di contenere le minacce in modo più efficace. È ad esempio in grado di coprire rilevamenti di rete, lateral movement, connessioni anomale, beacon, esfiltrazione e distribuzione di artefatti malevoli.
Analogamente all’EDR, l’XDR risponde alla minaccia per contenerla e rimuoverla. Tuttavia, il livello superiore di raccolta dei dati e integrazione con l’ambiente dell’XDR consente di rispondere in modo più efficace alla risorsa interessata.
Le piattaforme XDR forniscono la visibilità e il contesto olistici di cui gli analisti della sicurezza hanno bisogno per rispondere alle minacce in modo mirato ed efficace. Questa risposta su misura aiuta a contenere non solo la minaccia stessa, ma anche l’impatto della risposta sui sistemi, ad esempio riducendo il downtime sui server critici.
L’XDR è composto da tre elementi operativi: telemetria e analisi dei dati, rilevamento e risposta.
Telemetria e analisi dei dati
L’XDR monitora e raccoglie i dati su più layer di sicurezza, tra cui endpoint, rete, server e cloud.
L’analisi dei dati viene utilizzata per correlare il contesto di migliaia di avvisi da questi layer in modo da far emergere un numero inferiore di avvisi ad alta priorità, contribuendo a evitare il sovraccarico dei team di sicurezza.
Rilevamento
La visibilità superiore dell’XDR consente di vagliare gli avvisi e segnalare quelli che richiedono una risposta.
La stessa visibilità consente di creare basi di confronto del comportamento normale all’interno di un ambiente per consentire il rilevamento di minacce che utilizzano al meglio software, porte e protocolli e di indagare sull’origine della minaccia per impedire che influisca su altre parti del sistema.
Risposta
Proprio come l’EDR, l’XDR ha la capacità di contenere e rimuovere le minacce rilevate, nonché di aggiornare le policy di sicurezza per impedire il ripetersi di violazioni simili.
Tuttavia, a differenza dell’EDR, che svolge questa funzione solo su endpoint e carichi di lavoro, l’XDR va oltre la protezione degli endpoint per rispondere alle minacce in tutti i punti di controllo della sicurezza che tocca, dalla sicurezza dei container alle reti e ai server.
XDR vs. EDR
L’XDR rappresenta l’evoluzione del rilevamento e della risposta oltre l’attuale approccio con soluzione specifica e per vettore singolo. Chiaramente, il rilevamento e la risposta sugli endpoint (EDR) sono stati estremamente preziosi.
Tuttavia, nonostante la profondità della sua capacità, l’EDR è limitato perché può solo esaminare e rispondere alle minacce sugli endpoint gestiti. Ciò limita l’ambito delle minacce che possono essere rilevate, nonché la visione di chi e cosa è stato impattato, limitando l’efficacia della risposta all’interno del SOC.
Allo stesso modo, la competenza degli strumenti di Network Traffic Analysis è limitata alla rete e ai segmenti di rete monitorati e tende a generare una grande quantità di log. La correlazione tra avvisi di rete e altri dati di attività è invece fondamentale per dare un senso e incrementare il valore derivante dagli avvisi stessi di rete.
TelsyDefenX: il servizio gestito di XDR
Telsy propone TelsyDefenX, il servizio adatto ad ogni organizzazione che ricerchi un partner specializzato in cybersicurezza per un servizio di monitoraggio, investigazione e response centralizzato e correlato per la propria infrastruttura ICT: una soluzione all-in-one semplice da implementare e con supporto dedicato end-to-end.
È un servizio gestito che sfrutta le tecnologie di eXtended Detection and Response (XDR) integrandole sul SOC aziendale di Telsy per fornire sicurezza e protezione contro le minacce informatiche e i pericoli correlati, supportando nelle sue attività il personale tecnico dedicato alla difesa cyber dell’organizzazione.
Il valore aggiunto della soluzione risiede nei servizi di affiancamento e supporto al cliente nelle fasi di on-boarding & start-up servizio, insieme al servizio (operativo 24H) di alert management e alle funzioni di threat investigation & reporting che eroghiamo attraverso il nostro SOC.
TelsyDefenX è pensato per chi teme di incorrere in un cyber incident o un data breach, soprattutto se utilizza una moltitudine di soluzioni di protezione frammentate e non integrate che non riesce a gestire in autonomia, anche per scarsità di risorse di staff dedicate.
Scopri di più si questa e altre soluzioni cyber di Telsy.
Leggi gli altri report sul blog di Telsy
Claudio Di GiuseppeVedi tutti gli articoli
Diplomato in chimica a Roma, si laurea in sociologia per poi specializzarsi in comunicazione, valutazione e ricerca sociale. Si dedica allo studio di internet, della comunicazione digitale e del marketing, conseguendo un master negli Stati Uniti, a Los Angeles. Successivamente consegue un master di II livello in geopolitica e sicurezza globale, in Italia. Attualmente è Junior Communication Specialist per Telsy, Gruppo TIM. Collabora con la Croce Rossa Italiana come operatore volontario e operatore in attività di protezione civile (OPEM).