Blog WatchGuard

Qual è la differenza tra XDR e SIEM?

Negli ultimi vent'anni, le piattaforme di gestione delle informazioni e degli eventi di sicurezza (SIEM, Security Information and Event Management) sono state una delle soluzioni chiave per la gestione della sicurezza informatica, in quanto aiutano a centralizzare le attività di rilevamento degli attacchi e delle minacce. Il settore della sicurezza si sta ora orientando verso soluzioni di una nuova tipologia, ovvero il rilevamento e la risposta estesi (XDR, Extended Detection and Response).

Poiché le due tecnologie sono simili e hanno funzionalità sovrapponibili, molti ancora non ne conoscono le differenze. Tuttavia, la scelta della soluzione giusta è fondamentale per realizzare un'architettura di sicurezza efficace e sostenibile, in grado di soddisfare le esigenze per le quali i clienti si rivolgono agli MSP.

Principali differenze tra XDR e SIEM

La differenza essenziale tra XDR e SIEM è che quest’ultima tecnologia adotta un approccio più generale che la rende meno efficace delle piattaforme XDR, altamente specializzate nella correlazione delle informazioni di sicurezza e in grado di rilevare attacchi e minacce con meno fatica. Gli strumenti SIEM consentono alle aziende di radunare registri e alert da più soluzioni. Tuttavia, queste tecnologie non includono l'analisi o l'automazione, a differenza di XDR che invece integra elementi EDR e MDR, a formare una soluzione end-to-end che migliora il rilevamento e la risposta. XDR utilizza i dati raccolti da SIEM per ottenere un volume di alert e dati più gestibile ed è pertanto il complemento ideale della tecnologia SIEM.

Si può inoltre affermare che XDR offra un'alternativa agli approcci tradizionali reattivi che forniscono visibilità a più livelli sugli attacchi, come EDR, NDR e analisi del comportamento degli utenti (UBA) o anche SIEM. È in grado di implementare azioni di risposta ottenendo dati da diverse origini, correlandoli e classificandoli automaticamente per generare un rilevamento.  Una volta rilevata una minaccia, le viene assegnato un punteggio di criticità in base al quale viene eseguita un'azione specifica, che può anche essere programmata per un’esecuzione successiva o futura ogni volta che si verifica una situazione che soddisfa gli stessi criteri. In confronto, SIEM è una tecnologia passiva che informa gli utenti generando alert che devono essere gestiti da personale qualificato.

I seguenti quattro punti evidenziano le differenze essenziali tra le due soluzioni:

Obiettivo

La maggior parte delle soluzioni SIEM offre funzionalità centralizzate di gestione e analisi dei registri per un'organizzazione. Ciò comporta la generazione di alert, la correlazione di dati provenienti da più soluzioni selezionate e l'abilitazione dell'analisi post-evento. La tecnologia SIEM può anche essere utilizzata per il monitoraggio della conformità, il contenimento e una reportistica più completa.

XDR si concentra sull'utilizzo dei dati raccolti per migliorare il rilevamento delle minacce e la risposta. Ha come scopo identificare, indagare e intraprendere azioni adeguate per risolvere gli incidenti in modo rapido ed efficiente.

Gestione complessa

Poiché sono più aperte, le soluzioni SIEM spesso richiedono un notevole impegno a livello di gestione per collegarle alle origini dati, correlare gli eventi e configurare gli alert. Data la quantità di informazioni che gestiscono per la visibilità centralizzata, producono un grande volume di alert singoli che sono difficili da classificare e da ordinare in base alla priorità.

Le soluzioni XDR sono invece progettate per integrarsi più facilmente nell'architettura di sicurezza di un'azienda. Il vantaggio è che si riduce il numero degli alert rilevanti, che altrimenti potrebbero passare inosservati. Implementando la correlazione automatica dei dati da diversi livelli di sicurezza, gli alert possono essere confermati automaticamente, riducendo così il tempo necessario agli analisti per valutare segnalazioni e rischi e decidere quali elementi richiedono attenzione e ulteriori indagini. Inoltre, la configurazione centralizzata, che utilizza la ponderazione degli alert, aiuta a stabilire le priorità delle azioni da intraprendere. XDR richiede anche meno ore di training e offre una gestione e un flusso di lavoro unificati per diverse componenti della sicurezza.

Conservazione dei dati

Mentre le soluzioni SIEM fungono da repository di dati centrale per società che forniscono servizi di sicurezza, come gli MSP, e consentono l'archiviazione a lungo termine, XDR in genere accede ai dati da altre origini, memorizzandoli temporaneamente ed esclusivamente a scopo di analisi.

Velocità di risposta

Sebbene la maggior parte degli attuali sistemi SIEM disponga anche di alcune funzionalità di risposta, queste sono, in linea di principio, uno strumento di analisi dei dati in grado di fornire agli MSP le informazioni e gli alert necessari per identificare le minacce che attaccano un'organizzazione. XDR amplia queste funzionalità ed è in grado di supportare e coordinare gli sforzi di risposta all'interno della soluzione stessa.

In che modo gli MSP possono indirizzare i clienti nella scelta delle soluzioni più adatte alle loro esigenze?

Agli MSP servono leve da muovere per essere competitivi e soddisfare i requisiti di sicurezza in evoluzione dei loro clienti. Aggiungendo all’offerta soluzioni come XDR e SIEM, possono aiutare le organizzazioni a rafforzare la protezione migliorando al contempo la propria efficienza operativa. Tuttavia, per aggiungere valore attraverso queste soluzioni, devono essere in grado di indirizzare i clienti e consigliare la soluzione più adatta alle loro esigenze.

Una soluzione SIEM può essere uno strumento utile se il cliente dispone di tempo e risorse da dedicarle. Ad esempio, se l'azienda è soggetta a requisiti di conformità e gestione dei rischi operativi, oltre al rilevamento delle minacce, potrebbe adottare una tecnologia SIEM per soddisfare esigenze più ampie in fatto di reportistica e raccolta dati.

Se l'azienda utilizza già una soluzione SIEM, è consigliabile incorporare una soluzione XDR per integrare e amplificare le capacità di risposta del team.

Il problema principale di SIEM è lo stress da sovraccarico di alert. Queste soluzioni ne generano un gran numero, inclusi falsi positivi, quindi se il cliente ha poco personale dedicato, dover classificare e indagare su tutte queste segnalazioni può diventare eccessivo. E poiché si tratta di una soluzione più ampia e complessa, i costi sono più elevati e possono risultare proibitivi per aziende di dimensioni contenute.

XDR è ideale per le piccole e medie imprese, in quanto consente di risparmiare su risorse, tempo e costi. Ma è importante sottolineare che si tratta di una soluzione più specializzata, mentre SIEM è più ampia ed è in grado di correlare dati più eterogenei, provenienti anche da altre soluzioni oltre al firewall e agli endpoint, come i proxy o i registri delle applicazioni.  Tuttavia, l'automazione elimina gran parte del lavoro necessario per una soluzione SIEM e questa tecnologia non richiede un così alto livello di specializzazione da parte del personale, il che è un fattore positivo, data l'attuale carenza di figure professionali specializzate in sicurezza informatica. In una certa misura, una soluzione XDR come ThreatSync di WatchGuard risolve alcune delle principali problematiche delle soluzioni SIEM, ma in ultima analisi tutto dipende dalle competenze e dalla situazione del singolo cliente.

Se desideri saperne di più su questa tecnologia, entra nel mondo XDR di WatchGuard e scopri come ThreatSync può aiutarti a liberare le potenzialità della sicurezza unificata. Se vuoi sapere quali altri vantaggi offrono XDR e una soluzione SIEM, leggi questi post sul blog: