A parlare di Extended Detection and Response (XDR) fu, per prima, Gartner, che la definì come uno strumento SaaS, specifico di un vendor, votato alla threat detection e all’incident response, che ha la particolarità di integrare, insieme, più prodotti in modo che operino sinergicamente verso un unico obiettivo. In buona sostanza, questo modello descrive un approccio d’integrazione di tecnologie diverse.
Qualcuno parla di un approccio “olistico” alla sicurezza, ma per accontentare tutti sarebbe meglio utilizzare il termine “organico”: prodotti diversi, ma complementari, che cooperano tra loro verso un fine comune: rilevare le minacce e provvedere all’incident response dopo eventuali attacchi.
Indice degli argomenti
Extended Detection and Response: più soluzioni, un unico ecosistema
Può sembrare un concetto lapalissiano, ma la verità è che, nel mondo della sicurezza, si tende a utilizzare strumenti troppo diversi tra loro, di produttori diversi, e quando è il momento di farli convergere verso un unico obiettivo si creano pericolose zone scoperte o, al contrario, delle sovrapposizioni tecnologiche che portano a inevitabili conflitti.
Non è raro ancora oggi, per fare un esempio marchiano, trovare aziende che installano più antivirus per effettuare controlli sulle medesime risorse, pensando che tre antivirus rilevino tre volte meglio eventuali minacce. E invece si sa perfettamente quanti problemi può dare una soluzione di questo tipo.
Più efficacia, più produttività, più risparmio
Il modello Extended Detection and Response cambia radicalmente questa visione: tecnologie diverse, ma di un unico produttore, fornite come Software as a Service e sviluppate fin dal principio per lavorare in sinergia.
Un approccio di questo tipo porta a indubbi vantaggi. Innanzitutto una maggiore protezione ed efficienza durante le fasi di rilevamento e risposta alle minacce. Poi, di conseguenza, un aumento radicale della capacità produttiva dell’azienda. Infine, ma non certo secondario, un costo minore, poiché utilizzare un’unica soluzione, sviluppata su più prodotti, porta ad abbattere i prezzi.
A prima vista può sembrare una strategia fin troppo semplice, ma in realtà sottende a una serie di considerazioni.
Tre requisiti di partenza
La prima, strutturale, riguarda le richieste da soddisfare prima di poter contare su un vero XDR. Occorre, innanzitutto, centralizzare tutti i dati provenienti dal sistema aziendale, in modo da passarli unicamente all’ecosistema XDR del vendor prescelto.
Poi, è necessario correlare dati, alert e indicatori di rischio ai possibili incidenti, intesi non solo come attacchi ma anche come malfunzionamenti che potrebbero fornire falsi positivi. Infine, fare in modo che l’incident response possa modificare le impostazioni di uno o più dei prodotti che compongono l’XDR, in risposta a un problema.
Si tratta di tre condizioni che non solo consentono di passare a questo modello, ma di cambiare anche approccio alla gestione della sicurezza aziendale. Un po’ come fare ordine nella propria strategia di threat detection e incident response.
Una questione di IoC
Le tre condizioni, a questo punto, portano a delle importanti conseguenze. La prima è la necessità di avere una buona varietà di IoC (Indicator of Compromise), che rappresentano proprio la fonte primaria di dati da dare in pasto all’ecosistema XDR. È Walter Narisoni, Sales Engineer Manager di Sophos Italia, a confermarlo, mentre ci racconta la soluzione XDR del celebre produttore di tecnologie di sicurezza.
“La nostra soluzione Extended Detection and Response (XDR) rappresenta di fatto un’importante evoluzione della nostra proposta per l’Endpoint Detection and Response, in quanto la sua portata va oltre l’endpoint, combinando i dati di sicurezza che arrivano da più fonti, ovvero dalle varie soluzioni SOPHOS implementate dall’azienda.
L’obiettivo è contribuire a ridurre ulteriormente la complessità della configurazione della sicurezza, del rilevamento delle minacce e della risposta, fornendo così una gestione orchestrata degli attacchi.
Attraverso gli indicatori di compromissione raccolti, XDR può lanciare delle ricerche in linguaggio SQL attraverso le queries predefinite da Sophos che estraggono l’elenco delle vulnerabilità, mettendo a disposizione dei responsabili IT tutte le informazioni necessarie a decidere quali misure di sicurezza siano necessarie”.
Estendere le tecnologie già in uso
Altra naturale e positiva conseguenza dell’utilizzo di una soluzione XDR è che, puntando su un unico vendor, può estendere le potenzialità di tecnologie già presenti in azienda.
Per esempio, per Sophos, può ampliare esponenzialmente l’efficacia di soluzioni come Intercept X e XG Firewall. Narisoni punta molto su questo aspetto, quando parla del XDR di Sophos: “XDR può fare delle correlazioni tra gli eventi e capire se l’azienda è sotto attacco prima ancora che questo venga identificato da strumenti automatici di security. XDR dà ai responsabili IT non solo le informazioni su quanto sta accadendo nel perimetro aziendale, ma anche gli strumenti per interrogare, e dunque comprendere queste informazioni, cosa significhino in termini di rischio e come reagire efficacemente”.
Extended Detection and Response: non solo vantaggi per la sicurezza
Il concetto, chiaro, è che Sophos XDR, nella fattispecie, è sviluppato espressamente per comparare IoC provenienti da molte fonti diverse, incrociando i dati e individuando, dunque, le minacce. A quel punto, è in grado di sfruttare una soluzione come XG Firewall per analizzare gli host sospetti, passando quindi a individuare e investigare sui dispositivi che accedono alle risorse aziendali.
Un approccio organico, appunto, che non offre vantaggi solo sul piano della sicurezza. Con una soluzione XDR come quella di Sophos, infatti, si individuano, analizzano e risolvono anche conflitti tecnologici e rallentamenti.
Ecco perché Sophos, che ha da poco lanciato in Early Access il suo Sophos XDR, disponibile in versione trial gratuita, punta e punterà sempre più su questa tecnologia. È proprio Walter Narisoni a spiegarlo nei dettagli, quando gli si chiede cosa rappresenti XDR, dal punto di vista strategico, per Sophos.
Si adatta a diverse realtà aziendali
“Si sta affermando sul mercato la necessità di soluzioni di sicurezza in grado di offrire agli IT manager una maggiore visibilità, per una gestione più semplice e un migliore rilevamento e risposta alle minacce in tutto l’ecosistema aziendale, e come confermato anche da Gartner, “le principali proposte di valore di un prodotto XDR sono migliorare la produttività delle operazioni di sicurezza e potenziare le capacità di rilevamento e risposta includendo più componenti di sicurezza in un insieme unificato che offra più flussi di telemetria, presentando opzioni per più forme di rilevamento e abilitando contemporaneamente più metodi di risposta”.
Con XDR, Sophos vuole rispondere a questa crescente esigenza, rivolgendosi in primo luogo al settore mid-large enterprise, senza però trascurare gli altri segmenti di mercato: l’interfaccia di XDR e il suo sistema di queries predefinite sono infatti semplici ed accessibili, e dunque potenzialmente in grado di adattarsi a tutte le diverse realtà aziendali”.
Un evento dedicato tutto da scoprire
Per scoprire i vantaggi di adottare soluzioni di Extended Detection and Reponse (XDR), scoprendo in particolare il nuovo Sophos XDR, non resta che partecipare al webinar che si terrà il 17 marzo 2021 dalle ore 10 alle 11. Un webinar gratuito, dai contenuti di alto livello, che risponderà a domande quali:
- Cosa significa Extended Detection & Response (XDR)?
- Come integrare il nuovo XDR con le attuali soluzioni di protezione Endpoint, come SOPHOS Intercept X con EDR?
- Come si differenzia dalle tecnologie attuali?
- Quali sono i vantaggi principali per la tua azienda?
Per iscriversi, basta cliccare qui.
Contributo editoriale sviluppato in collaborazione con Sophos.
