XDR: cos'è, come funziona e come lo usano gli MSP
Si parla di eXtended Detection and Response (XDR) da alcuni anni, ma nonostante il termine sia noto nel settore, rimane una domanda fondamentale: di che cosa si tratta veramente? Secondo Gartner, che l’ha definito per la prima volta nel 2020, XDR è uno strumento specifico, utilizzato dai vendor per il rilevamento delle minacce e la risposta agli incidenti, che integra in modo nativo più prodotti di sicurezza in un sistema operativo di sicurezza coeso.
Oggi, il 62% dei professionisti della sicurezza afferma di "conoscere bene" il termine XDR, percentuale in aumento rispetto al solo 24% del 2020. Per quanto questo costituisca un chiaro miglioramento, il 29% ancora afferma di "conoscere poco", di "non conoscere bene" o di "non conoscere affatto" la tecnologia XDR, secondo un recente studio ESG.
Poiché la questione di cosa sia XDR non è ancora chiara per alcuni, abbiamo deciso di approfondire il concetto. La tecnologia eXtended Detection and Response è specificamente rivolta alla necessità di nuovi livelli di aggregazione, correlazione e analisi della telemetria di sicurezza per proteggere una superficie di attacco sempre più diversificata e affrontare il panorama in continua evoluzione, in cui le minacce divengono più complesse da rilevare. Integrare le funzionalità XDR nell'infrastruttura di un'organizzazione significa avere la possibilità di analizzare e correlare gli eventi di sicurezza provenienti da diverse origini e risorse per determinare quali attività sono in corso. XDR condivide le conoscenze da un'unica piattaforma, per risposte rapide e automatizzate che riducono il carico di lavoro del personale addetto alla sicurezza.
La correlazione era già presente nella prima versione di ThreatSync di WatchGuard: un motore basato su cloud che analizzava i dati degli eventi da Host Sensor e Firebox per identificare comportamenti dannosi. Tuttavia, la vecchia soluzione Threat Detection and Response (TDR) utilizzava solo la telemetria degli endpoint per rilevare i file dannosi e rispondere alle azioni avviate nel cloud, correlando gli eventi di rete a singoli file e processi sull'endpoint. Ora, ThreatSync si è evoluto fino a diventare una soluzione XDR, integrando soluzioni di sicurezza degli endpoint e di rete in un'unica piattaforma, in grado di correlare le informazioni di rilevamento delle minacce da diversi livelli di protezione e orchestrare la risposta degli strumenti.
Come funziona XDR?
XDR aumenta la sicurezza combinando diverse tecnologie che generano rilevamenti più accurati rispetto a quando operano separatamente. Raccoglie e visualizza in modo unificato i rilevamenti effettuati da vari prodotti per computer, server e firewall in modo da fornire ai professionisti della sicurezza il contesto dei rilevamenti delle minacce e consentire loro di rispondere e bloccare più rapidamente le minacce avanzate, riducendo significativamente i rischi. Includendo questi dati in un'unica console cloud, elimina anche la necessità di imparare a utilizzare più console. Consente quindi di rilevare minacce su dispositivi protetti e non protetti utilizzando dati tra domini per contrastare minacce avanzate che non sono visibili a livello del perimetro o dell'endpoint.
Inoltre, l'uso dei dati tra domini e della correlazione degli eventi offre la possibilità di monitorare le attività per diversi prodotti di sicurezza, il che facilita la classificazione e il rilevamento di scenari dannosi, che, da soli, possono sembrare innocui ma, se contestualizzati, diventano indicatori di compromissione (IoC), riducendo il tempo medio di rilevamento (MTTD), consentendo un rapido contenimento dei potenziali impatti e limitando la gravità e la portata degli incidenti.
L'automazione e la programmazione delle risposte liberano gli analisti da attività ripetitive o manuali, agendo su rilevamenti che corrispondono a criteri precedentemente definiti. Ciò consente di terminare processi, eliminare file, isolare un endpoint o bloccare un IP pubblico senza la necessità dell'intervento dell'analista.
Casi d'uso e vantaggi di XDR per gli MSP
L'utilizzo di XDR offre grandi vantaggi ai fornitori di servizi gestiti (MSP) per quanto riguarda la protezione dei clienti. Ad esempio, la correlazione tra sicurezza di rete ed endpoint può fare la differenza in caso di minacce persistenti avanzate (APT). Oggi ci aspettiamo che i file vengano scaricati quasi istantaneamente, quindi i firewall devono consentire il download di file sconosciuti mentre li inviano alla sandbox per l'analisi. Una volta analizzato il file, se risulta dannoso, XDR lo correla a un endpoint per rimuoverlo dal dispositivo.
Analogamente, per i processi in esecuzione su un computer che non sono di per sé dannosi ma possono creare connessioni dannose, come browser o client di posta elettronica, le funzionalità XDR sono in grado di reperire i dati dalle connessioni bloccate sul firewall e collegarli a singole applicazioni sull'endpoint. Ciò consente agli utenti di rilevare nuove applicazioni dannose o semplicemente di identificare goodware con comportamenti sospetti che richiedono ulteriori analisi.
I casi d'uso sopra descritti evidenziano come questo strumento possa essere utile agli MSP per proteggere le reti dei clienti. Tuttavia, gli MSP possono trarre anche altri vantaggi dall'utilizzo di XDR:
- Visibilità unificata delle minacce: XDR offre una maggiore precisione e accelera il rilevamento unificando i dati sulle minacce in un'unica interfaccia. La raccolta e la visualizzazione dei rilevamenti incrociati tra vari prodotti rende gli MSP più agili, poiché ne ottengono il contesto, che fornisce loro le informazioni di cui necessitano per rispondere alle minacce avanzate e bloccarle in modo più efficiente.
- Riduzione del tempo medio di rilevamento (MTTD): secondo i dati IBM, nel 2022 le aziende hanno impiegato in media 207 giorni per identificare un incidente di sicurezza. Tuttavia, le organizzazioni con tecnologie XDR hanno ottenuto notevoli vantaggi nei tempi di identificazione e risposta. Le organizzazioni con XDR hanno ridotto il ciclo di vita degli incidenti di circa un mese (29 giorni), in media, rispetto a quelle che non l’hanno implementato.
- Orchestrazione unificata della risposta alle minacce: XDR aumenta l’efficienza degli MSP grazie a una vasta gamma di azioni di risposta, consentendo loro di pianificare e automatizzare più rapidamente le risposte alle minacce su tutta la rete da una singola console, riducendo così i rischi e conferendo maggiore precisione e velocità grazie alla riduzione del tempo medio di risposta (MTTR). Per qualsiasi azienda, poter ridurre i tempi di rilevamento e dimostrarsi agile nelle azioni di risposta può fare la differenza tra rispondere in tempo a una minaccia e impedire che causi danni maggiori o lasciare che l'attacco si diffonda e assuma il controllo dei sistemi dell'organizzazione.
- Nessuna configurazione richiesta: alcune soluzioni XDR richiedono conoscenze avanzate per l'installazione, la configurazione e l’impostazione dello strumento. La soluzione XDR, WatchGuard ThreatSync fa parte del framework Unified Security Platform® e offre un'esperienza utente unificata e intuitiva che semplifica l'adattamento e l'apprendimento, e poiché è multiprodotto e completamente integrata, riduce i costi associati alla configurazione e all'integrazione delle soluzioni.
XDR è una soluzione perfetta per gli MSP che gestiscono piccole e medie imprese in quanto permette loro di incentivare le funzionalità di sicurezza in modo automatizzato e senza la necessità di esperti di sicurezza informatica. Migliora la visibilità, aumenta le capacità di rilevamento in scenari specifici e semplifica la risposta e la risoluzione degli attacchi. Scopri in che modo WatchGuard può esserti utile per adottare un approccio alla sicurezza basato su XDR tramite la soluzione ThreatSync.