XDR laptop Giacomo Lanzi

XDR come approccio alla sicurezza

Estimated reading time: 5 minuti

Proprio come qualsiasi altro campo IT, il mercato della cybersecurity è guidato dall’hype. Attualmente si fa hype verso l’XDR, ossia eXtended Detection and Response.

XDR è la novità per quello che concerne il rilevamento e alla risposta alle minacce, un elemento chiave della difesa dell’infrastruttura e dei dati di un’azienda.

Cos’è esattamente l’XDR?

XDR è un’alternativa ai tradizionali approcci reattivi che forniscono solo una layer visibility sugli attacchi. Mi riferisco a procedure come il rilevamento e la risposta degli endpoint (EDR), l’analisi del traffico di rete (NTA) e i SIEM, di cui abbiamo parlato in molti altri articoli.

La layer visibility implica che si adottino diversi servizi, stratificati (layer), che tengono sotto controllo ciascuno una specifica entità nell’infrastruttura. Questo può essere problematico. Infatti, bisogna assicurarsi che i livelli non finiscano isolati, rendendo difficile, o quasi impossibile gestire e visualizzare i dati. La layer visibility fornisce informazioni importanti, ma può anche portare a problemi, tra cui:

Collezionare troppi avvisi incompleti e senza contesto. L’EDR rileva solo il 26% dei vettori iniziali di attacco e a causa dell’elevato volume di avvisi di sicurezza, il 54% dei professionisti della sicurezza ignora gli avvisi che dovrebbero essere indagati.
Indagini complesse e dispendiose in termini di tempo che richiedono competenze specialistiche. Con l’EDR, il tempo medio per identificare una violazione è aumentato a 197 giorni, e il tempo medio per contenere una violazione è aumentato a 69 giorni.
Strumenti incentrati sulla tecnologia piuttosto che sull’utente o sul business. L’EDR si concentra sulle lacune tecnologiche piuttosto che sulle esigenze operative degli utenti e delle aziende. Con più di 40 strumenti utilizzati in un Security Operations Center (SOC) medio, il 23% dei team di sicurezza passa il tempo a mantenere e gestire gli strumenti di sicurezza piuttosto che eseguire indagini. (Fonte)

XDR raccolta dati

Per i team di sicurezza già sovraccarichi, il risultato può essere un flusso infinito di eventi, troppi strumenti e informazioni da alternare, tempi più lunghi per il rilevamento e spese per la sicurezza che superano il budget e non sono nemmeno pienamente efficaci.

La novità nell’eXtended Detection Response

XDR implementa un approccio proattivo al rilevamento delle minacce e alla risposta. Offre visibilità sui dati attraverso le reti, i cloud e gli endpoint, mentre applica l’analisi e l’automazione per affrontare le minacce sempre più sofisticate di oggi. I vantaggi dell’approccio XDR per i team di sicurezza sono molteplici:

Identificare le minacce nascoste, furtive e sofisticate in modo proattivo e rapido.
Tracciare le minacce attraverso qualsiasi fonte o posizione all’interno dell’organizzazione.
Aumentare la produttività delle persone che operano con la tecnologia.
Ottenere di più dai loro investimenti in sicurezza.
Concludere le indagini in modo più efficiente.

Dal punto di vista del business, XDR permette alle compagnie di individuare i cyber threat e fermare gli attacchi, oltre a semplificare e rafforzare i processi di sicurezza. Di conseguenza, consente alle aziende di servire meglio gli utenti e accelerare le iniziative di trasformazione digitale. Quando utenti, dati e applicazioni sono protetti, le aziende possono concentrarsi sulle priorità strategiche.

Perché considerarlo per la propria azienda

I due motivi principali per cui è vantaggioso questo tipo di approccio sono: gli endpoint non hanno visibilità sulle minacce in luoghi come i servizi cloud, inoltre, potrebbe non essere possibile mettere un software agent su tutti gli endpoint dell’azienda.

Ma ci sono anche altre motivazioni da considerare. L’aggiunta di altre fonti di dati può fornire maggiore contesto nei risultati dell’EDR, migliorando il triage e l’indagine degli avvisi. I provider si stanno movimentando non solo per fornire maggiori dati meglio organizzati, ma anche consegnando piattaforme di analisi per alleggerire il carico analitico sugli operatori. Questo si traduce in facilità d’uso e costi operativi ridotti.

L’XDR può sembrare molto attraente come prodotto: Integrazione stretta delle parti, contenuto altamente sintonizzato (poiché il fornitore ha il controllo totale sugli eventi dalle fonti di dati), uso di analitiche e automazione della risposta.

XDR dati virtuali

A cosa prestare attenzione prima dell’adozione

Alcuni provider stanno posizionando il loro XDR come la soluzione definitiva al rilevamento delle minacce. Tuttavia, molti fornitori non sono in grado di offrire tutti gli strumenti necessari per ottenere il vantaggio venduto. Alcuni provider offrono nel pacchetto il monitoring di endpoint e cloud, altri di endpoint e rete, ma se si esaminano le esigenze complete della maggior parte delle organizzazioni, ci sono spesso dettagli mancanti nell’immagine complessiva.

Se poi, una volta che l’azienda si impegna con un provider e nota una mancanza in uno dei settori monitorati, quali sono le possibili soluzioni? Si genera una situazione di vendor lock-in da cui svincolarsi significa recidere un contratto per poi aprirne un altro, con tutti i costi che ne conseguono.

L’XDR come un approccio, non come prodotto

Prima di sottoscrivere un contratto con un provider che vende un soluzione come definitiva, è sempre bene soppesare in modo analitico i vantaggi e le implicazioni.

L’integrazione stretta e bidirezionale di più capacità di rilevamento e risposta alle minacce è la prima caratteristica distintiva. Ma non è necessario acquistare due componenti tecnologici dallo stesso fornitore per ottenere una buona integrazione. Infatti, molti prodotti hanno la capacità di integrarsi con alcune soluzioni di altri fornitori come uno dei loro principali punti di forza.

L’approccio XDR deve fornire una piattaforma che consente la necessaria raccolta e conservazione dei dati, ma anche forti capacità di analisi, di orchestrare e automatizzare le azioni di risposta fornite dalle altre parti della soluzione. Un Next Generation SIEM cloud based è una soluzione perfetta.

Come muoversi dunque?

L’interesse per i prodotti XDR è un chiaro segnale che l’eccessiva frammentazione stava portando un’eccessiva complessità. Un po’ di consolidamento è un bene, ma deve essere fatto proteggendo la flessibilità e la capacità di seguire le soluzioni migliori.

Secondo noi, un SOCaaS è una soluzione ottimale. Fornisce un SIEM di nuova generazione, con forti capacità di analisi. Inoltre, integra anche un’intelligenza artificiale che aiuta nel riconoscere in tempo le minacce tramite l’analisi del comportamento. Un SOCaaS è il futuro delle piattaforme operative di sicurezza.

Per sapere con i nostri servizi possono aiutarti a proteggere i dati della tua azienda e dei tuoi clienti, contattaci, risponderemo volentieri a ogni tuo dubbio.

Link utili:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading

RSS Full Disclosure

  • Trovent Security Advisory 2203-01 / Micro Focus GroupWise transmits session ID in URL Gennaio 31, 2023
    Posted by Stefan Pietsch on Jan 30# Trovent Security Advisory 2203-01 # ##################################### Micro Focus GroupWise transmits session ID in URL ################################################# Overview ######## Advisory ID: TRSA-2203-01 Advisory version: 1.0 Advisory status: Public Advisory URL: https://trovent.io/security-advisory-2203-01 Affected product: Micro Focus GroupWise Affected version: prior to 18.4.2 Vendor: Micro Focus, https://www.microfocus.com...
  • APPLE-SA-2023-01-24-1 tvOS 16.3 Gennaio 27, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 26APPLE-SA-2023-01-24-1 tvOS 16.3 tvOS 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213601. AppleMobileFileIntegrity Available for: Apple TV 4K (all models) and Apple TV HD Impact: An app may be able to access user-sensitive data Description: This issue was addressed […]
  • [SYSS-2022-047] Razer Synapse - Local Privilege Escalation Gennaio 27, 2023
    Posted by Oliver Schwarz via Fulldisclosure on Jan 26Advisory ID: SYSS-2022-047 Product: Razer Synapse Manufacturer: Razer Inc. Affected Version(s): Versions before 3.7.0830.081906 Tested Version(s): 3.7.0731.072516 Vulnerability Type: Improper Certificate Validation (CWE-295) Risk Level: High Solution Status: Open Manufacturer Notification: 2022-08-02 Solution Date: 2022-09-06 Public Disclosure:...
  • [RT-SA-2022-002] Skyhigh Security Secure Web Gateway: Cross-Site Scripting in Single Sign-On Plugin Gennaio 26, 2023
    Posted by RedTeam Pentesting GmbH on Jan 26RedTeam Pentesting identified a vulnerability which allows attackers to craft URLs to any third-party website that result in arbitrary content to be injected into the response when accessed through the Secure Web Gateway. While it is possible to inject arbitrary content types, the primary risk arises from JavaScript […]
  • t2'23: Call For Papers 2023 (Helsinki, Finland) Gennaio 24, 2023
    Posted by Tomi Tuominen via Fulldisclosure on Jan 23Call For Papers 2023 Tired of your bosses suspecting conference trips to exotic locations being just a ploy to partake in Security Vacation Club? Prove them wrong by coming to Helsinki, Finland on May 4-5 2023! Guaranteed lack of sunburn, good potential for rain or slush. In […]
  • Re: HNS-2022-01 - HN Security Advisory - Multiple vulnerabilities in Solaris dtprintinfo and libXm/libXpm Gennaio 24, 2023
    Posted by Marco Ivaldi on Jan 23Hello again, Just a quick update. Mitre has assigned the following additional CVE IDs: * CVE-2023-24039 - Stack-based buffer overflow in libXm ParseColors * CVE-2023-24040 - Printer name injection and heap memory disclosure We have updated the advisory accordingly: https://github.com/hnsecurity/vulns/blob/main/HNS-2022-01-dtprintinfo.txt Regards, Marco
  • APPLE-SA-2023-01-23-8 Safari 16.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-8 Safari 16.3 Safari 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213600. WebKit Available for: macOS Big Sur and macOS Monterey Impact: Processing maliciously crafted web content may lead to arbitrary code execution Description: The issue was addressed with […]
  • APPLE-SA-2023-01-23-7 watchOS 9.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-7 watchOS 9.3 watchOS 9.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213599. AppleMobileFileIntegrity Available for: Apple Watch Series 4 and later Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened […]
  • APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 macOS Big Sur 11.7.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213603. AppleMobileFileIntegrity Available for: macOS Big Sur Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling […]
  • APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 macOS Monterey 12.6.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213604. AppleMobileFileIntegrity Available for: macOS Monterey Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened runtime. CVE-2023-23499: […]

Customers

Newsletter