I sistemi XDR (eXtended Detection and Response) sono soluzioni di sicurezza che vanno oltre le “semplici” soluzioni di Endpoint Protection e EDR (Endpoint Detection and Response), integrando queste ultime con componenti per il controllo anche dei gateway di posta elettronica, dei servizi cloud e degli accessi.
Indice degli argomenti
Cosa sono i sistemi XDR
Per entrare nel merito, i sistemi XDR sono stati progettati per aiutare i team di sicurezza a:
- identificare le minacce di cyber security altamente sofisticate o nascoste;
- tenere traccia delle minacce su più componenti di sistema e lo schema congiunto di minaccia strutturale;
- migliorare la velocità di rilevamento e risposta;
- indagare in modo congiunto sulle minacce in modo più efficiente ed efficace.
I sistemi XDR sono stati sviluppati come alternativa alle soluzioni di sicurezza dei punti, che erano limitate a un solo livello di sicurezza o potevano eseguire solo la correlazione degli eventi senza risposta.
In se è l’evoluzione di soluzioni come il rilevamento e la risposta degli endpoint (EDR) e l’analisi del traffico di rete (NTA). Sebbene siano ancora utili, questi ultimi strumenti specifici di livello tendono a generare maggiori volumi di avvisi, richiedono più tempo per indagare e rispondere agli eventi e richiedono maggiore manutenzione e gestione.
Al contrario, un sistema XDR consolida gli strumenti e consente ai team di sicurezza di lavorare in modo più efficace ed efficiente.
Come funziona un sistema XDR: capacità chiave
Passiamo adesso ad illustrare alcune funzionalità chiave delle soluzioni XDR.
Analisi e rilevamento
Le soluzioni XDR si basano su una gamma di analisi per il rilevamento delle minacce. Di seguito sono elencate alcune delle caratteristiche analitiche che sono generalmente incluse:
- Analisi del traffico interno ed esterno : assicura che vengano rilevati insider dannosi e credenziali compromesse, oltre a identificare gli attacchi esterni. Monitorando e analizzando il traffico interno ed esterno, un sistema XDR è in grado di identificare una minaccia anche se ha già aggirato il perimetro del sistema aziendale.
- Intelligence integrata sulle minacce : incorpora informazioni su metodi, strumenti, fonti e strategie di attacco noti su più vettori di attacco. L’intelligence sulle minacce consente ai sistemi XDR di apprendere dagli attacchi ad altri sistemi e di utilizzare tali informazioni per rilevare eventi simili nel proprio ambiente.
- Rilevamento basato sull’apprendimento automatico: include metodi supervisionati e semi-supervisionati che funzionano per identificare le minacce in base a linee di base comportamentali. Le tecnologie di apprendimento automatico consentono ai sistemi XDR di ottenere un rilevamento quasi immediato delle minacce zero-day e le minacce non tradizionali che possono aggirare i metodi basati sulle firme.
Indagine e risposta
Una volta rilevati eventi sospetti, un sistema XDR può fornire strumenti che aiutano i team di sicurezza a determinare la gravità di una minaccia e a rispondere di conseguenza. Di seguito sono elencate alcune delle funzionalità incluse all’interno dei sistemi XDR che possono aiutare con le indagini e la risposta:
- Correlazione di avvisi e dati corrispondenti possono raggruppare automaticamente avvisi inerenti, creare sequenze temporali di attacco dai registri delle attività e assegnare priorità agli eventi. Questo aiuta i team a determinare rapidamente la causa principale di un attacco e può aiutarli a prevedere cosa potrebbe fare un aggressore in un secondo momento.
- Interfaccia utente centralizzata: consente agli analisti di verificare e rispondere agli eventi dalla stessa console. Ciò aiuta ad accelerare i tempi di risposta e semplifica la documentazione delle risposte.
- Orchestrazione della risposta: abilita le azioni di risposta direttamente tramite le interfacce XDR, nonché la comunicazione tra gli strumenti. Ad esempio, un sistema XDR può aggiornare le policy degli endpoint in tutta l’azienda, in risposta a un attacco bloccato automaticamente su un singolo endpoint.
Implementazioni dinamiche e flessibili
Le soluzioni XDR sono progettate per fornire ulteriori vantaggi nel tempo. Di seguito sono elencate alcune delle funzionalità che aiutano a raggiungere questo obiettivo:
- Sincronizzazione della sicurezza: capacità di integrarsi e sfruttare i controlli esistenti per risposte unificate e standardizzate. Le soluzioni XDR possono anche includere funzionalità di automazione per garantire che le policy e gli strumenti siano distribuiti in modo coerente.
- Archiviazione e calcolo scalabili: un sistema XDR utilizza risorse Cloud in grado di scalare per soddisfare le tue esigenze di analisi e dati. Ciò garantisce che i dati storici, utili per identificare e indagare su minacce persistenti avanzate o altri attacchi di lunga durata, rimangano disponibili.
- Miglioramento nel tempo e inclusione dell’apprendimento automatico: assicura che le soluzioni diventino più efficaci nel rilevare una gamma più ampia di attacchi nel tempo. Questo, in combinazione con l’inclusione dell’intelligence sulle minacce, aiuta a garantire che il numero massimo di minacce venga rilevato e prevenuto.
- Produttività migliorata: questo tipo di sistema elimina la necessità per gli analisti della sicurezza di passare da più dashboard e aggregare manualmente i dati di sicurezza. Ciò consente agli analisti di rilevare e rispondere in modo più efficiente e produttivo alle minacce alla sicurezza.
- Costo totale di proprietà (TCO) inferiore: inoltre viene offerta una piattaforma di sicurezza informatica completamente integrata. Ciò riduce i costi associati alla configurazione e all’integrazione interna di soluzioni a più punti.
- Supporto degli analisti: questi sistemi si basano su un’esperienza di gestione e flusso di lavoro comune nell’intera infrastruttura di sicurezza di un’organizzazione. Ciò riduce i requisiti di formazione e consente agli analisti di primo livello di operare ad un gradino superiore rispetto a quanto non sarebbero in grado di fare altrimenti.
Maggiore visibilità su endpoint e infrastruttura di rete
Un sistema XDR è progettato per fornire a un team di sicurezza una visibilità completa su tutti gli endpoint e l’infrastruttura di rete dell’organizzazione. Con questa maggiore visibilità derivano numerosi vantaggi per la sicurezza informatica aziendale:
- Riparazione unificata: si fornisce funzionalità di risposta agli incidenti centralizzate e unificate in tutti gli ambienti che compongono una rete aziendale. Ciò consente al personale di sicurezza di porre rimedio agli attacchi diffusi contro l’organizzazione in modo rapido ed efficiente, riducendo l’impatto ei costi complessivi per l’organizzazione.
- Comprensione generale dell’attacco migliorata: presi singolarmente, gli indicatori di un attacco possono essere deboli, rendendo difficile separare il segnale dal rumore. Un sistema di questo tipo raccoglie e aggrega questi segnali da più fonti, rafforzandoli e consentendo a un’organizzazione di rilevare e rispondere ad attacchi che altrimenti sarebbero stati trascurati.
- Caccia alle minacce unificata: si unifica altresì la visibilità e l’analisi dei dati nell’intera infrastruttura di rete di un’organizzazione. Ciò consente agli analisti di ottenere il contesto necessario per identificare in modo proattivo le minacce avanzate presenti sulla rete.
Il panorama delle minacce alla sicurezza informatica si sta espandendo giorno per giorno e il IT di sicurezza molto impegnati e oberati delle organizzazioni non sono in grado di scalare per tenere il passo. Sebbene un approccio alla sicurezza a più livelli sia efficace in teoria, in realtà fa perdere agli analisti informazioni cruciali solo perché non sanno dove andarle a cercare.
Il rilevamento e la risposta estesi forniscono un’alternativa, utilizzando l’aggregazione degli avvisi, l’analisi dei dati e il rilevamento con le risposte automatizzate delle minacce, per semplificare la sicurezza. Una soluzione XDR efficace fornisce per esempio di visibilità ampia e integrata e un integrazione funzionale dove le soluzioni di sicurezza sono più efficaci quando sono integrate per fornire agli analisti un contesto derivato da più origini.
Vantaggi di sicurezza di un sistema XDR
Una piattaforma XDR può offrire una prevenzione migliore, inclusione di informazioni sulle minacce e apprendimento automatico adattivo, inoltre può aiutare a garantire che le soluzioni siano in grado di implementare protezioni contro la più grande varietà di attacchi.
Il monitoraggio continuo e la risposta automatizzata possono aiutare anche a bloccare una minaccia non appena viene rilevata per prevenire danni. La visibilità granulare fornisce dati utente completi su un endpoint in combinazione con comunicazioni di rete e applicative, ciò include informazioni sulle autorizzazioni di accesso, sulle applicazioni in uso e sui file a cui si accede.
Avere piena visibilità del proprio sistema, anche in locale e nel Cloud, consente di rilevare e bloccare gli attacchi con una velocità straordinaria.
Una risposta efficace solida raccolta e un analisi dei dati consente di tracciare un percorso di attacco e ricostruire le azioni degli aggressori. Ciò fornisce le informazioni necessarie per localizzare l’attaccante ovunque si trovi.
Fornisce, inoltre, informazioni preziose che si possono applicare per rafforzare le proprie difese. Da un maggiore controllo includendo la possibilità di inserire nella blacklist e nella whitelist traffico e processi. Questo garantisce che solo le azioni e gli utenti approvati possano accedere al sistema.
Una migliore produttività nella centralizzazione riduce il numero di avvisi e aumenta la precisione degli avvisi. Questo aiuta ad ottenere meno falsi positivi da vagliare. Inoltre, poiché un sistema XDR è una piattaforma unificata e non una combinazione di soluzioni multiple, è più semplice da mantenere e gestire e si riduce il numero di interfacce a cui la sicurezza deve accedere durante una risposta.
Un sistema XDR è progettato per semplificare la visibilità della sicurezza nell’intero ecosistema di un’organizzazione, infatti fornisce una serie di vantaggi in termini di efficienza a un’organizzazione come la “visibilità integrata” che raggruppa la visibilità della sicurezza nell’intera rete di un’organizzazione (endpoint , infrastruttura Cloud, dispositivi mobili ecc.).
Questo vantaggio consente agli analisti della sicurezza di ottenere un contesto su un potenziale incidente di sicurezza senza dover apprendere e utilizzare piattaforme diverse. Le impostazioni di sicurezza possono essere configurate da un unico pannello di controllo nell’intera rete aziendale, garantendo che le politiche di sicurezza coerenti possano essere applicate nonostante un’infrastruttura di rete diversificata.
Questi sistemi offrono integrazioni pronte all’uso e meccanismi di rilevamento preconfigurati su prodotti diversi.
Casi d’uso per un sistema XDR
Un sistema di questo tipo fornisce supporto per un’ampia gamma di responsabilità di sicurezza della rete. Può anche essere adottato per supportare casi d’uso specifici, a seconda della maturità del tuo team di sicurezza. Di seguito sono riportati tre casi d’uso che rispecchiano i livelli con cui sono spesso classificati i professionisti della sicurezza.
Livello 1: triage
Le soluzioni XDR possono essere adottate come strumento principale per aggregare dati, monitorare i sistemi, rilevare eventi e allertare i team di sicurezza. Questi sistemi possono costituire la base per ulteriori sforzi o possono consentire un passaggio di consegne a squadre di livello superiore.
Livello 2: indagine
I team possono utilizzare le soluzioni come archivi di analisi e informazioni sugli eventi. Queste informazioni, in combinazione con l’intelligence sulle minacce, possono essere utilizzate per indagare su eventi, valutare le risposte e formare il personale di sicurezza.
Livello 3: individuare le minacce
I dati raccolti dalle soluzioni XDR possono essere utilizzati come base per l’esecuzione di operazioni di individuazione. Queste operazioni cercano in modo proattivo prove di minacce che sono state ignorate da sistemi e analisti.
I dati utilizzati e raccolti durante i processi di ricerca delle minacce possono essere utilizzati anche per creare nuove informazioni sulle minacce che vengono quindi utilizzate per rafforzare le politiche e i sistemi di sicurezza esistenti.
Differenze tra sistemi XDR e altre soluzioni di sicurezza
Un sistema XDR è diverso da altri strumenti di sicurezza in quanto centralizza, normalizza e correla i dati provenienti da più origini. Queste funzionalità consentono una visibilità più completa e possono esporre eventi meno evidenti.
Raccogliendo e analizzando i dati da più fonti, le soluzioni XDR sono in grado di convalidare meglio gli avvisi, riducendo così i falsi positivi e aumentando l’affidabilità. Questo aiuta a ridurre il tempo che i team potrebbero perdere con avvisi eccessivi o imprecisi.
Sebbene sia possibile ottenere risultati simili con una combinazione di soluzioni EDR e SIEM (Security Incident and Event Management), un sistema XDR va oltre queste capacità. Le soluzioni SIEM raccolgono dati superficiali da molte fonti mentre un XDR raccoglie dati più profondi da fonti mirate. Questi metodi di raccolta consentono a un XDR di fornire un contesto migliore per gli eventi ed eliminare la necessità di ottimizzazione manuale o integrazione dei dati. Inoltre, poiché le origini degli avvisi sono native della soluzione XDR, lo sforzo di integrazione e manutenzione richiesto per il monitoraggio degli avvisi in un SIEM viene eliminato.
I sistemi di questo tipo adottano un approccio diverso. Invece di essere puramente reattivo alla sicurezza informatica, consente a un’organizzazione di proteggersi in modo proattivo dalle minacce informatiche fornendo visibilità unificata su più vettori di attacco.
Ad oggi la maggior parte delle organizzazioni sta lottando sotto un diluvio di dati di sicurezza. Sebbene sia vero che non è possibile proteggere ciò che non si può vedere, essere sopraffatto da troppi avvisi di sicurezza di bassa qualità ha lo stesso risultato finale. In molti casi, ai team di sicurezza mancano gli attacchi in corso perché le informazioni di cui hanno bisogno sono sepolte sotto un numero enorme di false segnalazioni positive.
Questo tipo di sistema risolve queste problematiche fornendo visibilità e analisi dei dati unificate e integrate nelle risorse di un’organizzazione. L’unificazione consente al team di sicurezza di un’organizzazione di visualizzare i dati raccolti da tutte le soluzioni di sicurezza da tutte le piattaforme (inclusi endpoint, dispositivi mobili, risorse Cloud, infrastruttura di rete, e-mail e così via) all’interno di un’unica dashboard. L’integrazione consente agli analisti di trarre vantaggio dagli approfondimenti derivati dall’aggregazione delle informazioni sugli eventi provenienti da più soluzioni diverse in un unico “incidente” contestualizzato.
Semplificando la sicurezza fino a un’unica piattaforma e dashboard, esso consente a un team di sicurezza di proteggere efficacemente un’organizzazione dagli attacchi informatici. Inoltre, questo sistema sfrutta l’automazione per semplificare i flussi di lavoro degli analisti, consentire una risposta rapida agli incidenti e ridurre i carichi di lavoro degli analisti eliminando le attività semplici o ripetitive.
Le sfide SOC e come un sistema XDR può affrontarle
Il Security Operations Center (SOC) è un’unità organizzativa responsabile dell’identificazione, della risposta e della mitigazione delle minacce alla sicurezza. L’obiettivo principale del SOC è identificare e reagire alle minacce in modo rapido ed efficace per ridurre al minimo i danni all’organizzazione. Il rilevamento e la risposta su più livelli di sicurezza, basati su XDR, possono aiutare a raggiungere questo obiettivo.
Ecco alcune sfide SOC che possono essere affrontate dalle soluzioni XDR:
- Sovraccarico: le soluzioni SIEM (Security Information and Event Management) inviano migliaia di avvisi agli analisti SOC. La ricerca ha dimostrato che per le aziende di medie dimensioni, gli strumenti di sicurezza possono generare fino a 2 milioni di avvisi al giorno. Gli analisti non sono in grado di elaborare e dare priorità a questo numero di avvisi, il che porta a un affaticamento degli avvisi. Un sistema XDR elimina il rumore combinando più eventi in un unico avviso ad alta affidabilità, assegnando automaticamente la priorità agli avvisi più importanti.
- Lacune nella visibilità: in un SOC tradizionale, diversi strumenti di sicurezza offrono visibilità su diverse parti dell’ambiente IT. Ad esempio, i firewall forniscono visibilità e controllo sul traffico di rete mentre gli strumenti di sicurezza degli endpoint offrono visibilità sugli eventi di sicurezza di se stessi. Tuttavia, la combinazione dei dati di questi strumenti richiede lavoro manuale e competenza. Un sistema XDR può aiutare combinando automaticamente i dati degli eventi da più strumenti di sicurezza e salvandoli in un “data lake” per l’analisi storica. Fornisce inoltre analisi avanzate in grado di costruire una catena di attacco da più eventi isolati.
- Difficoltà delle indagini: gli analisti della sicurezza richiedono molto tempo per creare un quadro completo di una minaccia e identificarne il percorso e l’impatto. Un sistema XDR elimina questi processi manuali, automatizzando completamente le indagini forensi e l’analisi delle cause principali. Mostra il percorso completo e la sequenza temporale di un attacco e fornisce dati contestuali sugli eventi e accesso a set di dati completi per consentire agli analisti di eseguire un’analisi più approfondita di un incidente.
- Rilevamento e lentezza della risposta: a causa delle sfide di cui sopra, molte minacce non vengono rilevate dal SOC o non possono essere adeguatamente studiate. Ciò aumenta i tempi di risposta e di permanenza delle minacce nei sistemi aziendali. Un sistema XDR può migliorare i parametri chiave delle prestazioni SOC come il tempo medio di risposta (MTTR) e il tempo medio di rilevamento (MTTD), migliorando i tassi di rilevamento delle minacce e accelerando completamente il processo.
Piattaforma EDR e sistema XDR: le differenze
Gli EDR sono stati creati per fornire una protezione a livello di perimetro per un sistema. Questo è stato un progresso rispetto ai metodi esistenti in quanto ha fornito copertura per un componente principale in un attacco: gli endpoint. Il risultato ha dato una sicurezza proattiva degli endpoint che ha coperto molte lacune di sicurezza e punti ciechi.
Tuttavia, un uso efficace dell’EDR richiede ancora la collaborazione di altri strumenti e processi. Esso non può proteggere il sistema da solo. Inoltre, non può fornire una visibilità completa del proprio sistema. Piuttosto, può fornire una visibilità limitata sulle azioni che gli aggressori stanno intraprendendo sugli endpoint. Se si pretende sapere cosa è successo durante l’attacco, si devono utilizzare altri strumenti di monitoraggio e rilevamento.
D’altro canto un sistema XDR è stato progettato per colmare questa lacuna di informazioni. A differenza dell’EDR, può fornire visibilità in ogni fase di un attacco, dall’endpoint al payload. Integrando un XDR nella piattaforma di sicurezza, si può raccogliere informazioni da tutti i sistemi. Questo aiuta a determinare un quadro più accurato degli attacchi passati e degli attacchi in corso. Ciò è particolarmente importante poiché le reti al giorno d’oggi sono più distribuite e si possiedono più servizi esterni incorporati con accesso al sistema.
Un sistema XDR e una soluzione MDR
Un Managed Detection and Response (MDR) è una soluzione che fornisce un’alternativa a un SOC interno. Fornisce strumenti di sicurezza ed esperti di sicurezza in outsourcing che possono proteggere un’organizzazione dalle minacce. I provider MDR in genere offrono:
- Monitoraggio della rete 24 ore su 24, 7 giorni su 7 e rilevamento di incidenti di sicurezza da parte di analisti della sicurezza.
- Indagine su incident e risposta gestita dal SOC del provider MDR.
- Tecnologia di sicurezza come piattaforme EDR, XDR e SIEM, distribuita all’interno dell’ambiente di un’organizzazione e gestita dal provider SOC.
L’ultimo elemento è la differenza fondamentale tra MDR e il tradizionale Managed Security Service Provider (MSSP). Implementando soluzioni di sicurezza avanzate nell’ambiente di un’organizzazione, gli esperti di sicurezza MDR ottengono una visibilità approfondita e un controllo granulare sulle risorse IT, consentendo loro di rilevare e rispondere efficacemente alle minacce. Sia gli MDR che gli XDR aiutano i team di sicurezza a gestire risorse limitate e minacce crescenti, in diversi modi:
- Un MDR integra il team di sicurezza interno: offre il SOC come servizio, eseguendo la maggior parte delle attività necessarie per proteggere le risorse critiche dell’organizzazione. In molti casi, il provider MDR fornirà una soluzione XDR come parte della sua offerta, ma la soluzione sarà gestita dal personale dell’MDR anziché dai team di sicurezza interni. Ciò può fornire notevoli risparmi sui costi rispetto al mantenimento interno di una tecnologia SOC e XDR completa.
- Un XDR automatizza le attività di sicurezza e migliora la produttività degli analisti: se un’organizzazione mantiene un SOC interno, può migliorare la propria efficacia nel rilevare e rispondere alle minacce. Un sistema XDR fa risparmiare tempo ai team di sicurezza, consentendo loro di indagare e rispondere a minacce reali per l’azienda.
Sia un MDR che un XDR possono aiutare un’organizzazione a identificare e rispondere alle minacce in modo più efficace. La domanda principale è se l’organizzazione è in grado di mantenere un SOC interno e implementare le necessarie tecnologie di sicurezza.
Per le organizzazioni che stanno appena iniziando a costruire la propria infrastruttura di sicurezza, un MDR fornirà in genere una soluzione più conveniente e un’accelerazione notevolmente più rapida.
Come funziona un sistema XDR con un SIEM
Un servizio di Security Information and Event Management (SIEM) viene utilizzato nella maggior parte dei centri operativi di sicurezza come repository centrale dei dati degli eventi di sicurezza e un modo per generare avvisi dagli eventi di sicurezza.
Un sistema XDR può estendere un SIEM attingendo ai dati SIEM e combinandoli con i dati provenienti da soluzioni puntuali che si integrano con la piattaforma XDR.
Un sistema XDR può portare un SIEM un passo avanti. Ad esempio, quando una piattaforma SIEM genera un avviso, invece di fare in modo che gli analisti della sicurezza entrino manualmente nei sistemi di sicurezza degli endpoint o nei sistemi Cloud per indagare ulteriormente, il sistema XDR può farlo automaticamente. Può combinare i dati del SIEM con i dati forensi degli endpoint e delle risorse Cloud e creare una storia di attacco completa. Gli analisti possono comprendere immediatamente l’intera portata della minaccia e rispondere ad essa.
Un sistema XDR consente anche di fare analisi più avanzate. Il SIEM era tradizionalmente basato su regole di correlazione statistica, mentre un XDR introduce l’analisi basata sull’intelligenza artificiale che stabilisce le linee di base comportamentali e identifica le anomalie sulla base di queste linee di base.
Può aggiungere un altro livello di analisi ai dati SIEM, facendo risparmiare ancora più tempo agli analisti della sicurezza e migliorando il tempo di rilevamento e risposta.
Le soluzioni XDR più efficaci da adottare in azienda
Ecco, di seguito, una selezione delle soluzioni XDR che è possibile adottare in azienda.
SentinelOne Singularity XDR
SentinelOne Singularity XDR semplifica la protezione in chiave d’approccio “moderno attuale” degli endpoint, utilizzando tecnologia Cloud attraverso un’unica piattaforma centralizzata e autonoma per la cyber security di largo perimetro. Per le sue caratteristiche è indicato per le medie imprese e le grandi realtà.
Elastic Security for XDR
Basata su codice libero e aperto, Elastic Security for XDR è una soluzione unificata che fornisce capacità di rilevamento, prevenzione e risposta alle nuove minacce caratterizzate da livelli di sofisticazione sempre più elevati.
Sistema XDR Microsoft
Grazie all’ottima integrazione tra le differenti piattaforme di sicurezza Microsoft, questo sistema XDR risulta essere particolarmente efficace ed efficiente con servizi di protezione sia delle risorse rivolte al cliente, come endpoint, app ed e-mail, sia di quelle cloud.
Cybereason XDR
Cybereason XDR consente di eseguire un’analisi tempestiva delle attività degli utenti e delle applicazioni, identificando i dati di telemetria chiave per ottenere una visione completa del percorso dell’attacco e consentendo al team di sicurezza di rispondere efficacemente e rapidamente.
CrowdStrike Falcon Insight XDR
Grazie all’apprendimento automatico, all’analisi comportamentale e all’intelligence integrata sulle minacce, CrowdStrike Falcon Insight XDR consente alle aziende di combattere un’ampia gamma di cyber attacchi. Semplice da implementare e dotato anche di un componete per la difesa di sistemi IoT, è ideale per le PMI.
Palo Alto Networks Cortex XDR
Sfruttando l’analisi comportamentale e l’apprendimento automatico, Palo Alto Networks Cortex XDR è in grado di identificare e arrestare gli attacchi e le cyber minacce. Inoltre, integra un firewall basato su host, la crittografia del disco e la gestione dei dispositivi USB basata su policy.
Cynet 360 AutoXDR
Cynet 360 AutoXDR integra funzionalità di protezione degli endpoint, gestione delle vulnerabilità, intelligence sulle minacce e analisi della rete e degli utenti finali che semplificano e rafforzano le operazioni di sicurezza informatica per organizzazioni di tutte le dimensioni.
Acronis XDR
Un framework di sicurezza informatica integrato, completo e nativo per i fornitori di servizi gestiti (MSP). Grazie al rilevamento e alla risposta di minacce per endpoint (EDR) esistenti in azienda, Acronis XDR fornisce misure di protezione ampie ed efficienti.
Bitdefender GravityZone XDR
Bitdefender GravityZone XDR è in grado di rilevare e analizzare l’intera portata degli attacchi informatici, furtivi o di altro tipo, collegando segnali provenienti da strumenti diversi e fornendo un contesto più profondo attraverso la raccolta automatizzata di prove, l’analisi delle cause.
VMware Carbon Black XDR
Una soluzione che consente di ridurre i punti ciechi e avere una protezione completa dell’infrastruttura aziendale. VMware Carbon Black XDR trasforma gli endpoint in sensori di rete distribuita per offrire una visibilità pervasiva sull’intera infrastruttura e monitorare carichi di lavoro, reti e utenti in un ecosistema scalabile e aperto.
Trend Micro Trend Vision One
Acquisire dati da una vasta serie di input e avere la capacità di proteggere gli endpoint con EDR (Endpoint Detection and Response) consente di creare un’efficace prima linea di difesa dei propri sistemi: inoltre, un sistema XDR come Trend Vision One supporta anche l’identificazione proattiva delle vulnerabilità sia all’interno dei confini della rete aziendale che in quelle visibili pubblicamente.
Errori da evitare con le piattaforme costruite con sistemi XDR
Sebbene le piattaforme XDR rappresentino un miglioramento significativo rispetto agli strumenti tradizionali e a molti sistemi EDR, queste soluzioni non sono infallibili. Per assicurarsi che tutta l’implementazione sia efficace e che si stia ottenendo la massima protezione per il perimetro da proteggere, sarebbe meglio assicurarsi di evitare i seguenti errori.
Complessità di integrazione
Le soluzioni XDR devono integrarsi senza problemi con le soluzioni esistenti. Se l’integrazione richiede un lavoro eccessivo o plug-in personalizzati, si perde in produttività. Probabilmente si dovrà anche sacrificare parte del controllo e della visibilità che rendono la soluzione XDR un miglioramento rispetto alle alternative. Se la piattaforma che si desidera non si integra bene, probabilmente è meglio trovarne un alternativa. La possibilità di sfruttare l’integrazione nativa consente di implementare rapidamente una nuova piattaforma e fornisce miglioramenti immediati della protezione.
Allo stesso modo, quando si cerca di integrare strumenti aggiuntivi con il sistema XDR, ci si assicuri di dare la priorità a quelli che sono già compatibili. In generale, di dovrebbe diffidare di applicazioni, strumenti e servizi che richiedono un lavoro di integrazione aggiuntivo poiché questo è un debito a budget che si dovrà affrontare.
Mancanza di automazione sufficiente
L’automazione è un fattore chiave dell’efficienza di un sistema XDR. La capacità di automatizzare il monitoraggio, gli avvisi e le risposte è ciò che riduce il carico di lavoro dei team di sicurezza e consente loro di concentrarsi su attività di livello superiore. Tuttavia, per essere efficace, l’automazione deve andare oltre i semplici processi di sandboxing o il blocco di tutto il traffico.
La piattaforma XDR scelta dovrebbe idealmente includere l’automazione che si adatta alle condizioni attuali del sistema e risponde in base a più parametri. Ad esempio, riconoscere quando un dispositivo si è connesso alla rete ed essere in grado di abbinarlo a un profilo utente precedente o assegnargli uno stato temporaneo, ciò può quindi consentire di monitorare più da vicino i dispositivi sconosciuti e limitare più rapidamente l’accesso potenzialmente dannoso.
Complessità operativa
Le piattaforme XDR dovrebbero facilitare gli sforzi dei team di sicurezza e risposta. Questo va oltre le interfacce e dashboard e si estende ai requisiti di configurazione e manutenzione. Se una soluzione è difficile da aggiornare o non consente di modificare facilmente le impostazioni, il suo valore diminuisce.
Inoltre, se una piattaforma è costituita da varie tecnologie che non sono collegate in modo nativo, si potrebbe inutilmente complicare la messa in piedi del servizio. È improbabile che questi strumenti siano altrettanto efficaci ed è più probabile che richiedano sforzi operativi aggiuntivi. Si dovrebbero cercare piattaforme che includono servizi e funzionalità nativi che non richiedono di componenti esterni.
Per concludere, al momento della messa in piedi di sistemi complessi di difesa informatica, una sincera e profonda valutazione delle proprie necessità in base alla propria realtà, paga sempre.