TECHTARGET

Come scegliere la soluzione XDR più adatta

I prodotti di detection e response estesi (XDR) oggi esistenti offrono molte opportunità alle aziende che dedicano un po’ di tempo ad approfondirli. È l’occasione per comprendere i diversi livelli di XDR proposti e identificare quale meglio risponde alle proprie necessità e caratteristiche. Si può partire, per esempio, conoscendo e paragonando le diversità tra le opzioni offerte da EDR+, SIEM+ e Comprehensive. 

Pubblicato il 31 Gen 2023

soluzione XDR

Gli acronimi, per gli strumenti e i servizi di cybersecurity, servono a classificare le capacità e le caratteristiche che ci si deve aspettare quando si affrontano sfide nel campo della sicurezza. Pur avendo lo scopo di semplificare il processo di selezione, spesso disorientano i potenziali utenti che si trovano a valutare per scegliere. XDR, o extended detection and response, resta sempre un acronimo importante da conoscere.

È importante capire se le funzionalità XDR sono adatte alle proprie esigenze. L’acronimo con la “X” di extended indica l’intenzione di estendere il DR a tutta l’organizzazione e di interconnettere le fonti di rilevamento con il response controller. Si tratta di uno passaggio che tutti si trovano ad affrontare, quindi non c’è da stupirsi se inizialmente i provider di servizi di sicurezza sono saliti sul carro dell’XDR.

La legge del mercato, certo, ma ciò ha portato a un’ampia gamma di prodotti XDR, tutti con funzionalità diverse. Per gli utenti, ciò significa caos, indecisione e il rischio di arrivare a una sorta di immobilismo.

Un modo per ridurre questa confusione è quello di concentrarsi sui risultati solo in ambito cybersecurity. I risultati chiave dell’XDR dovrebbero essere i seguenti:

  • visibilità completa dell’ambiente IT e degli strumenti;
  • riduzione della probabilità di compromissione grazie alla conoscenza del rischio
  • riduzione dell’impatto della compromissione grazie alla rapidità di rilevamento e risposta alle minacce

Può suonare tutto molto familiare: come sempre gli acronimi variano, ma gli obiettivi della sicurezza rimangono sempre gli stessi. Ciò che si può fare è cercare di conoscere al meglio le varianti di XDR oggi sul mercato, e valutarle rispetto ai risultati di sicurezza desiderati.

Definizione e offerta di XDR

Gartner definisce l’XDR come una piattaforma che “integra, correla e contestualizza i dati e gli avvisi provenienti da più componenti di prevenzione, detection e risposta alla sicurezza”. L’obiettivo dell’XDR è anche quello di ridurre il numero dei prodotti acquisiti, la quantità di alert, i problemi di integrazione e i costi operativi.

I tre elementi fondamentali di XDR sono i seguenti:

  1. Ampia copertura, visto che c’è più di una fonte di telemetria.
  2. Riferimento centrale per l’analisi, con visibilità su raccolta dati, processi, alert e flussi di lavoro.
  3. Automazione, grazie a workflow che portano a decisioni più rapide per coordinare le risposte tra più strumenti.

Questa definizione di alto livello dà luogo a interpretazioni anche estremamente contrastanti, per cui è difficile distinguere un provider di XDR valido, dai tanti che fanno questo tipo di offerte, facendo semplicemente leva sull’acronimo. Inizialmente intesi come un’evoluzione del rilevamento e della risposta agli endpoint (EDR), i prodotti SIEM maturi soddisfano anche i criteri XDR. Di conseguenza, diversi provider di SIEM, dichiarano di offrire XDR.

Esaminiamo le più comuni varianti attuali di ciò che viene offerto con l’acronimo XDR:

  • EDR+ — endpoint + telemetria/dati + risposta dell’endpoint. Questo tipo di XDR, che è spesso il percorso dei fornitori di EDR, porta un’altra fonte di telemetria o di dati a un endpoint esistente. Sebbene questo approccio possa sembrare semplice, perché ottimizza gli investimenti EDR già effettuati, non è detto che garantisca la copertura dell’intero ambiente IT. Molto dipende dalle fonti di dati e dai punti di telemetria aggiuntivi utilizzati.
  • SIEM+ — SIEM + logs + analytics. Per chi ha una struttura di sicurezza robusta, questa opzione SIEM-centrica offre flessibilità e scalabilità. Il SIEM può includere integrazioni di risposta o arricchimenti di indagini automatizzate, anche per soddisfare i requisiti di automation. Le criticità di questa opzione riguardano le lunghe implementazioni, i numerosi processi per i moduli aggiuntivi che devono essere integrati nei processi esistenti e la disponibilità del team interno di fare aggiornamenti frequenti per adeguarsi sempre alle policy dell’organizzazione.
  • Comprehensive — endpoint + telemetria/dati + log + analytics + sistema di rilevamento delle intrusioni + monitoraggio dell’integrità dei file + risposta (identità, endpoint e firewall/web application firewall). Questo approccio offre visibilità sull’intero ambiente IT. Combina prevenzione e rilevamento, affrontando sfide note e sconosciute. I numerosi strumenti coinvolti possono richiedere la collaborazione tra team per ottimizzare le competenze nel gestire l’ambiente, per generare i risultati migliori.

Valutazione dell’XDR rispetto ai risultati

Valutiamo queste opzioni XDR rispetto ai risultati chiave menzionati in precedenza.

Risultato 1

EDR+ non riesce a fornire una visibilità completa dell’ambiente IT e degli strumenti a disposizione. Permette solo una visione ristretta, che soddisfa a malapena la definizione XDR di Gartner.

Comprehensive è in testa per quanto riguarda la visibilità, SIEM+ non è da meno, ma offre visibilità sul traffico di rete attraverso il sistema di rilevamento delle intrusioni.

Risultati 2 e 3

Questi risultati XDR sono direttamente collegati alla visibilità e agli strumenti IT, il che, ancora una volta, non è una buona notizia per l’EDR+.

L’esecuzione di analisi su molte fonti di dati è fondamentale per garantire la visibilità di tutte le aree che presentano rischi. Le mitigazioni possono essere decise in base all’importanza percepita del rischio e alle risorse disponibili. Per esempio, quelle business-critical richiedono il più basso livello di rischio accettabile. I sistemi SIEM+ e Comprehensive XDR hanno performance simili, in questo caso, a patto che siano integrate con le analisi di valutazione dell’esposizione, anche nativamente.

Per quanto riguarda il rilevamento e la risposta alle minacce, EDR+ è una buona opzione per quelle sugli endpoint, ma trascura aree come le credenziali compromesse e la sicurezza del cloud. SIEM+ è in grado di identificare una gamma più ampia di minacce, ma si basa eccessivamente sui log e manca di automazione nella fase response. Comprehensive esegue l’analisi di un’ampia gamma di fonti e le collega ai meccanismi di risposta, per reagire più rapidamente alle minacce.

Sebbene l’acronimo XDR possa essere utilizzato per descrivere una serie di approcci diversi alla sicurezza, i prodotti XDR da soli non compensano la carenza di competenze del personale e non ci liberano dall’onere di effettuare tutti i task di security.

Realizzare il valore di XDR

Quando si valutano prodotti con molte funzionalità come XDR, è facile farsi attirare dal loro potenziale valore in termini di sicurezza. L’XDR è un passo positivo verso la centralizzazione della visibilità, della gestione dei dati e dei controlli di sicurezza, ma non è una bacchetta magica. Serve sempre un impegno operativo quotidiano per garantire protezione.

È necessario, quindi, valutare in modo pragmatico il valore delle offerte, in base alle risorse, alle competenze e alla sicurezza che possono garantire. Per ottimizzare il valore offerto dall’XDR, è necessario affiancargli altri servizi come ricerca di nuove minacce, monitoraggio costante e continuo, advanced analytics, check di ogni alert, analisi dei registri, riduzione dei falsi positivi e azionable insights.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 3