Blog WatchGuard

Non tutte le piattaforme XDR sono uguali

I termini “unificato” e “integrato” sono spesso usati in modo intercambiabile nel mondo dei software. Tuttavia, i responsabili della sicurezza devono comprendere le differenze tra le piattaforme profondamente unificate e quelle integrate basate su API all'interno di un'organizzazione e come queste possono avere un impatto significativo su tutto, dai costi all'efficienza. In primo luogo, è essenziale definire in modo chiaro i termini.

  • Integrazione basata su API: le piattaforme XDR integrate sono solitamente sviluppate da diversi fornitori e consistono in diverse soluzioni di sicurezza create logicamente da diversi team con criteri diversi; non condividono una struttura di dati, funzionalità e così via. Inoltre, queste differenze strutturali e progettuali si ripetono per ciascuno dei fornitori integrati. Spesso le soluzioni XDR integrate sono connesse da API, hanno dati completamente diversi con più di un database non connesso e non funzionano alla perfezione insieme ad altre tecnologie.
  • Unificazione profonda: le piattaforme unificate sono sviluppate da un fornitore con accesso al codice sorgente delle soluzioni di sicurezza e presentano una struttura di dati condivisa. Consente ai fornitori di integrare in modo profondo i loro controlli di sicurezza e creare una piattaforma unificata, casi d'uso collaborativi che non possono essere implementati altrimenti e una struttura di dati condivisa all'interno di un database unificato.

Ora che abbiamo capito meglio cosa distingue le piattaforme XDR unificate e da quelle integrate, ecco sei motivi fondamentali per cui implementare una soluzione di rilevamento e risposta multi-dominio, cioè una piattaforma XDR, tramite API non è l'ideale.

Piattaforme XDR unificate e integrate a confronto: cos’hanno di diverso?

  1. Unificazione e integrazione a confronto. È più importante ottenere dati completi, log e unificazione della telemetria per un'integrazione nativa profonda e significativa che consenta nuove funzionalità di rilevamento e risposta nel tempo. L'integrazione dei controlli di sicurezza tramite API è spesso superficiale in quanto non condividono la stessa struttura di dati.
  2. La piattaforma XDR diventa vulnerabile alle versioni API. La sostenibilità di una XDR basata su API nel medio-lungo termine presenta dei rischi. I fornitori possono applicare modifiche API che richiedono aggiornamenti costanti per sfruttare tali funzionalità, nuove ed esistenti. Questi cambiamenti e aggiornamenti possono portare a problemi di integrazione e compatibilità, aggiungendo più carico di lavoro ai team di sicurezza.
  3. Mancanza di capacità di integrazione standard. Anche sul breve termine, la mancanza di standard nelle API rende le implementazioni XDR altamente dipendenti da ciò che altri fornitori aggiornano nei loro controlli di sicurezza, rendendo difficile recuperare costantemente gli stessi dati e rispondere in modo coerente agli aggressori indipendentemente dalla soluzione integrata. Ciò rende difficile implementare un programma di sicurezza a più fornitori e su vari domini coerente e completo.
  4. Mancanza di flessibilità per stare al passo con gli autori delle minacce. Gli autori delle minacce sono in continua evoluzione e creano sempre nuove tecniche di evasione. La ricerca di nuove tecniche utilizzate dagli autori di minacce richiede nuovi sensori di attività, che raccolgano e automatizzino l'analisi del nuovo tipo di telemetria e dati. È un lavoro molto impegnativo e dinamico. Richiede il monitoraggio di nuovi comportamenti, la raccolta di nuova telemetria e l'implementazione di nuove funzionalità di correlazione dei dati su più domini. In altre parole, i rilevamenti e le risposte proattive sono una caratteristica dinamica, mentre l'integrazione delle API è statica: una volta effettuata, rimane statica per un lungo periodo in quanto l’evoluzione risulta costosa, diventando un freno all'efficacia della sicurezza dei team.
  5. Problemi di sicurezza e scalabilità. Non tutte le API sono sicure, il che è la preoccupazione principale dei fornitori quando le utilizzano. Le API possono rendere la piattaforma integrata vulnerabile agli attacchi informatici. Le API possono anche far dipendere le prestazioni della piattaforma dal loro design e dalla scalabilità verticale e orizzontale. Pertanto, se un'API presenta alcuni problemi di scalabilità, questi influiranno sulle prestazioni della piattaforma complessiva.
  6. Mancanza di accesso all'implementazione per integrazione profonda e adattabilità ai nuovi requisiti. La sicurezza unificata ed efficiente e la capacità di rilevare nuove tecniche di attacco, entrambe su più domini, sono possibili solo se l'integrazione dei controlli di sicurezza è nativa, con la stessa struttura di dati e guidata da un singolo fornitore con accesso al codice sorgente di controllo. Questa unificazione in un'unica piattaforma di sicurezza è l'unico modo possibile per creare casi d'uso che altrimenti non esisterebbero. Guarda i casi d'uso dell'approccio di sicurezza “Better Together” di WatchGuard.

https://www.watchguard.com/wgrd-partners/comprehensive-security

Per ulteriori informazioni sull'architettura e sui vantaggi di WatchGuard Unified Security Platform, consigliamo di scaricare l’articolo sui principali motivi per acquistare WatchGuard e di visitare la pagina web relativa all'approccio Unified Security Platform.