Che cosa si intende per Extended Detection and Response (XDR)?

In un panorama di minacce informatiche in continua evoluzione, XDR si propone di migliorare notevolmente i tempi di indagine e reazione dei team di sicurezza. Tuttavia, come quasi sempre accade con i nuovi approcci, può esserci confusione sul significato del termine, sulle differenze con le soluzioni di sicurezza tradizionali e sui risultati di sicurezza attesi dagli utenti. Continua a leggere per scoprire di più.

XDR: significato e definizione

Extended Detection and Response, o XDR, è una tecnologia di sicurezza multilivello che salvaguarda l'infrastruttura IT. A tale scopo raccoglie e correla i dati provenienti da più livelli di sicurezza come endpoint, app, e-mail, cloud e reti, aumentando la visibilità sull'ambiente tecnologico di un'organizzazione. Ciò consente ai team di sicurezza di rilevare, indagare e rispondere alle minacce informatiche in modo rapido ed efficace.

XDR è considerato una versione più avanzata del concetto di Endpoint Detection and Response (EDR). Mentre EDR si concentra sugli endpoint, XDR amplia il raggio d'azione concentrandosi su vari punti di controllo della sicurezza per rilevare le minacce più rapidamente, utilizzando analisi approfondite e l'automazione.

Il moderno panorama delle minacce informatiche

Il panorama della sicurezza informatica è in rapida evoluzione ed espansione. L'ultimo decennio ha visto una proliferazione di strumenti di rilevamento e reazione alle minacce, tutti mirati a rimanere al passo con le più recenti minacce informatiche. Con l'aumento del lavoro a distanza e il passaggio al cloud di diverse funzioni aziendali, le attività di rilevamento e reazione non sono sempre immediate, tanto più che le violazioni possono sopraggiungere in qualsiasi contesto e momento.

In un ambiente digitale così ad alto rischio, è essenziale sapere come gestire le minacce informatiche in modo coerente e olistico. Per rimanere al passo con i criminali informatici, i team di sicurezza devono fare affidamento su un'integrazione più profonda e su una maggiore automazione.

Alcune caratteristiche del moderno panorama delle minacce:

• Gli utenti malintenzionati oggi investono molto tempo nella raccolta preventiva di informazioni per individuare i bersagli, capire in che modo attaccarli e in quale momento. Questo livello di pianificazione preventiva rende gli attacchi più sofisticati e, di conseguenza, più difficili da intercettare.
• Sempre più spesso gli aggressori collaborano tra loro per ampliare il raggio di competenze. Ad esempio, un team specializzato nell'accesso iniziale può collaborare con un team specializzato in movimento laterale. Successivamente potrebbe vendere l'accesso a un altro team che si concentra sul ransomware per rubare i dati a fini di estorsione. Una collaborazione di questo tipo non fa altro che aumentare il livello di complessità.
• Gli attacchi informatici investono ormai parecchie aree della rete: possono ad esempio partire dalla workstation di un dipendente tramite un messaggio e-mail di phishing o un IP aperto compromesso e, dopo aver mappato rapidamente la rete, possono spostarsi verso data center, infrastrutture cloud e reti OT (Operational Technology). La trasformazione digitale in molte organizzazioni, unita all'aumento del lavoro a distanza, sta determinando l'ampliamento della superficie di attacco.
• Gli aggressori sono ormai più abili nel nascondere le loro attività. Lo fanno tramite una reazione di contrattacco utilizzando strumenti legittimi a fini malevoli per nascondere le loro azioni.
• I metodi di estorsione come furto di dati, attacchi DDoS e ransomware sono diventati più elaborati e, in casi estremi, i criminali possono persino contattare i clienti dell'azienda colpita per indurli a cedere alle richieste di estorsione.
• In alcune organizzazioni l'infrastruttura di sicurezza può essere isolata nella rete. Se le soluzioni di sicurezza indipendenti non sono integrate, possono causare troppi avvisi privi di contesto, sovraccaricando i team di sicurezza e riducendone la visibilità sull'intera superficie di attacco.

Poiché i criminali utilizzano tecniche più avanzate per sfruttare i controlli di sicurezza tradizionali, le organizzazioni possono trovarsi in difficoltà nel proteggere le proprie risorse digitali vulnerabili sia all'interno che all'esterno del tradizionale perimetro di rete. Di fronte alla pressione dei team di sicurezza generata dal passaggio al lavoro a distanza, il carico sulle risorse risulta amplificato. Le organizzazioni hanno bisogno di misure di sicurezza proattive e unificate per difendere le risorse tecnologiche come endpoint legacy, carichi di lavoro mobili, di rete e cloud, senza sovraccaricare il personale e le risorse interne.

Di conseguenza, sempre più leader della sicurezza aziendale e della gestione del rischio stanno prendendo in considerazione i vantaggi della sicurezza XDR e il relativo valore in termini di produttività.

Come funziona XDR?

XDR crea vantaggi di sicurezza migliorando le capacità di rilevamento e reazione e unificando visibilità e controllo a livello di endpoint, rete e cloud.

Collegando i dati provenienti da soluzioni di sicurezza in silos, la visibilità sulle minacce risulta migliorata e i tempi per l'identificazione e la reazione agli attacchi si riducono. XDR facilita l'indagine avanzata e le capacità di ricerca delle minacce su più domini da un'unica console.

In generale, la sicurezza XDR agisce su tre aspetti:

1. Raccolta dei dati: il primo passaggio consiste nella raccolta e nella normalizzazione di grandi volumi di dati da endpoint, carichi di lavoro cloud, e-mail, traffico di rete, contenitori virtuali e altro ancora. Tutti i dati sono resi anonimi e comprendono solo gli elementi necessari per identificare potenziali anomalie e minacce.
2. Rilevamento: l'attenzione si concentra quindi sull'analisi e la correlazione dei dati per rilevare automaticamente le minacce nascoste utilizzando l'intelligenza artificiale avanzata (AI) e il machine learning (ML).
3. Reazione: successivamente viene assegnata la priorità ai dati in base alla gravità delle minacce, in modo che i team di sicurezza possano analizzare e valutare i nuovi eventi con tempestività e automatizzare le attività di indagine e reazione. Il processo di reazione deve avvenire da un unico centro che comprenda dati, contesto e strumenti attinenti.

La tecnologia XDR è utile per mostrare agli analisti i passaggi compiuti da un utente malintenzionato rivelando la sequenza di processi prima dell'attacco finale. La catena di attacco viene arricchita con informazioni provenienti dall'inventario delle risorse, come le vulnerabilità relative alla risorsa, il proprietario o i proprietari delle risorse, il ruolo aziendale e la reputazione osservabile dalla threat intelligence.

Di fronte agli ingenti volumi di avvisi a cui ogni giorno sono soggetti i team di sicurezza, il modo migliore per gestire questo processo consiste nell'automatizzare il processo di valutazione e fornire agli analisti informazioni contestuali. XDR consente ai team di sicurezza di utilizzare il proprio tempo in modo efficiente concentrandosi sugli avvisi potenzialmente più dannosi.

Perché le aziende hanno bisogno di XDR

XDR coordina gli strumenti di sicurezza in silos, unificando e ottimizzando i processi di analisi, indagine e reazione. Questo offre notevoli vantaggi alle organizzazioni, tra cui:

Visibilità consolidata sulle minacce:

La sicurezza XDR fornisce dati anonimi su un endpoint in combinazione con le comunicazioni di rete e delle applicazioni. Ciò include informazioni sulle autorizzazioni di accesso, sui file a cui si accede e sulle applicazioni in uso. La visibilità completa sul sistema consente di rilevare e bloccare gli attacchi più velocemente.

Funzionalità di prevenzione migliorate:

Threat intelligence e machine learning adattivo offrono funzionalità centralizzate di configurazione e protezione avanzata, con istruzioni per prevenire i possibili attacchi.

Reazione efficace:

La raccolta e l'analisi estese dei dati consentono ai team di sicurezza di tracciare un percorso di attacco e ricostruire le azioni degli aggressori, aumentando le possibilità di identificarli. I dati forniscono inoltre informazioni preziose da utilizzare per rafforzare le difese.

Maggiore controllo:

La possibilità sia di bloccare che di consentire traffico e processi garantisce che solo le azioni e gli utenti approvati possano accedere al sistema.

Maggiore produttività:

La centralizzazione riduce il volume degli avvisi e ne aumenta la precisione, riducendo così i falsi positivi da esaminare. Poiché XDR è una piattaforma unificata e non una combinazione di soluzioni, risulta più facile da gestire e riduce il numero di interfacce a cui accedere durante il processo di reazione.

Ripristino degli host dopo una compromissione:

XDR può aiutare i team di sicurezza a riprendersi rapidamente da un attacco rimuovendo file dannosi e chiavi di registro, nonché ripristinando file e chiavi di registro danneggiati avvalendosi di suggerimenti in merito.

Esempio di casi d'uso XDR

La tecnologia XDR è adatta a un'ampia gamma di responsabilità in tema di sicurezza della rete. La sua applicazione specifica dipenderà dalle esigenze della singola organizzazione e dal livello di maturità del team di sicurezza. Gli esempi più comuni includono:

Valutazione:

XDR può fungere da strumento principale per aggregare dati, monitorare sistemi, rilevare eventi e allertare i team di sicurezza.

Indagine:

Le organizzazioni possono utilizzare le soluzioni XDR come repository di informazioni sugli eventi. Possono utilizzare queste informazioni insieme alla threat intelligence per indagare sugli eventi, determinare la reazione adeguata e formare il personale di sicurezza.

Ricerca delle minacce:

I dati raccolti dalle soluzioni XDR possono essere utilizzati come punto di partenza per l'esecuzione di operazioni di ricerca delle minacce. A loro volta, i dati utilizzati e raccolti durante le operazioni di ricerca delle minacce possono essere utilizzati per creare nuova threat intelligence e rafforzare i protocolli e i sistemi di sicurezza.

Quali sono i vantaggi di XDR?

Extended Detection and Response offre un valore aggiunto aggregando più strumenti di sicurezza in una piattaforma di rilevamento e reazione agli incidenti di sicurezza coerente e unificata. I principali vantaggi di XDR includono:

• Consolidamento di un grande volume di avvisi in un numero molto più ridotto di incidenti a cui assegnare priorità per l'indagine manuale
• Offerta di opzioni integrate di reazione agli incidenti con un contesto tale da consentire la rapida risoluzione degli avvisi
• Offerta di opzioni di reazione oltre i punti di controllo dell'infrastruttura, inclusi rete, cloud ed endpoint, per garantire una protezione completa
• Automatizzazione delle attività ripetitive per migliorare la produttività
• Offerta di un'esperienza di gestione e flusso di lavoro comune tra i componenti di sicurezza, per un'efficienza superiore

In sostanza, i principali vantaggi risiedono nelle migliori capacità di protezione, rilevamento e reazione, nella maggiore produttività del personale di sicurezza operativo e nella riduzione del costo totale di proprietà per processi di rilevamento e reazione alle minacce di sicurezza efficaci.

Cosa cercare in una soluzione XDR

Le caratteristiche chiave da cercare in una soluzione XDR includono:

Indipendenza:

La possibilità di integrarsi con più tecnologie senza alcun vincolo con il fornitore.

Correlazione e rilevamento basati su macchine:

Per facilitare l'analisi tempestiva di grandi insiemi di dati e ridurre il numero di falsi positivi.

Modelli di dati predefiniti:

Per integrare la threat intelligence e automatizzare il rilevamento e la reazione senza ricorrere ad attività di programmazione o creazione di regole.

Integrazione della produzione:

Anziché richiedere la sostituzione di soluzioni SIEM (Security Information and Event Management), tecnologie SOAR (Security Orchestration and Response) e strumenti di gestione dei casi, una soluzione XDR si integra alla perfezione per consentire alle organizzazioni di massimizzare il valore del proprio investimento.

Integrazione con la convalida della sicurezza:

Quando XDR e la convalida della sicurezza operano insieme, i team di sicurezza hanno maggiore consapevolezza delle prestazioni del proprio stack di sicurezza, delle vulnerabilità e delle azioni necessarie a colmare le lacune nelle prestazioni.

XDR a confronto con altre tecnologie di rilevamento e reazione

XDR si differenzia dagli altri strumenti di sicurezza in quanto centralizza, normalizza e correla dati provenienti da più origini per garantire una visibilità completa e svelare le minacce avanzate.

Raccogliendo e analizzando dati da più origini, la tecnologia XDR si comporta meglio nella convalida degli avvisi, riducendo i falsi positivi e aumentando l'affidabilità. Questo consente ai team di sicurezza di risparmiare tempo e di provvedere a reazioni più rapide e automatizzate.

XDR e EDR sono differenti. I sistemi EDR aiutano le organizzazioni a gestire le minacce concentrandosi sull'attività corrente in tutti gli endpoint, utilizzando il machine learning avanzato per comprendere tale attività e specificare le reazioni e utilizzando l'automazione per garantire un'azione rapida ove necessario.

I sistemi XDR si basano su questo principio integrando flussi di dati non endpoint, come reti, e-mail, carichi di lavoro cloud, applicazioni, dispositivi, identità, risorse di dati, Internet of Things e altro ancora. Questi elementi aggiuntivi consentono di scoprire più minacce, violazioni e attacchi e di rispondere in modo più efficace, ampliando il raggio d'azione all'intera infrastruttura anziché solo agli endpoint. XDR offre anche una visione più approfondita della situazione.

Alcune organizzazioni cercano di gestire le minacce informatiche utilizzando una combinazione di soluzioni EDR e SIEM (Security Information and Event Management). Tuttavia, mentre le soluzioni SIEM raccolgono dati superficiali da molte origini, XDR raccoglie dati più approfonditi da origini mirate. Ciò consente a XDR di fornire un contesto più ampio per gli eventi ed elimina la necessità di ottimizzazione manuale o di integrazione dei dati. Le origini degli avvisi sono native della soluzione XDR, consentendo così di abolire le attività di integrazione e manutenzione necessarie per il monitoraggio degli avvisi in un sistema SIEM.

In definitiva, più a lungo una minaccia rimane all'interno della rete di un'organizzazione, maggiori sono le possibilità per un utente malintenzionato di danneggiare i sistemi e rubare dati preziosi. Ciò significa che è fondamentale agire il più rapidamente possibile in risposta a qualsiasi minaccia percepita. I team di sicurezza hanno bisogno di metodi migliori per sapere quando sono presenti minacce, oltre a metodi più rapidi per evidenziarle e neutralizzarle al fine di ridurre al minimo le potenziali perdite. In definitiva, è proprio questa la sfida che si propone XDR.

Domande frequenti su XDR

Le domande frequenti sulla sicurezza XDR, sulla tecnologia XDR e sulla sicurezza informatica XDR includono:

Che cos'è XDR?

XDR sta per Extended Detection and Response e si riferisce a una tecnologia che monitora e mitiga le minacce alla sicurezza informatica. XDR raccoglie e correla automaticamente i dati su più livelli di sicurezza, inclusi i dati di endpoint, rete e cloud, accelerando il rilevamento delle minacce e consentendo una reazione più rapida e precisa.

Come funziona XDR?

XDR garantisce un approccio proattivo al rilevamento e alla reazione alle minacce. Garantendo visibilità su tutti i dati e utilizzando analisi e automazione, XDR è in grado di affrontare le odierne minacce alla sicurezza informatica. XDR raccoglie gli avvisi relativi a e-mail, endpoint, server, carichi di lavoro cloud e reti, quindi analizza questi dati per identificare le minacce. Le minacce vengono poi elencate per priorità, ricercate e risolte per prevenire violazioni della sicurezza.

Qual è la differenza tra XDR ed EDR?

EDR (Endpoint Detection and Response) si concentra sul monitoraggio continuo e sul rilevamento delle minacce insieme alla reazione automatizzata. Tuttavia, questo approccio è limitato in quanto esegue tali funzioni solo a livello di endpoint. Al contrario, XDR ha le stesse priorità di EDR ma le estende oltre gli endpoint per includere i carichi di lavoro cloud, le applicazioni, le identità degli utenti e l'intera rete.

Prodotti correlati:

• Kaspersky Managed Detection and Response
• Kaspersky Endpoint Detection and Response Expert e Kaspersky Anti Targeted Attack Platform

Articoli successivi:

• Cos'è la protezione degli endpoint e come funziona?
• Come il concetto di zero trust sta plasmando la cybersicurezza su larga scala
• Come avvengono le violazioni dei dati