Le vere frontiere del 2021 nel campo di XDR

In un mondo di promesse attorno alla prossima grande rivoluzione nel mondo dei dati e della sicurezza, XDR sta iniziando a dare i suoi frutti.

29 ottobre 2020

Ascolta Greg Young
Che spiega come XDR stia finalmente mantenendo ciò che per anni ha promesso e di cui hai avuto bisogno, e su come possa incrementare la fiducia nella tua strategia di sicurezza.

Nel campo della sicurezza, nel corso degli anni sono state fatte molte promesse, soprattutto in tema di correlazione dei dati e di piattaforme avanzate. Ed eccoci qui... il SOC sta ancora sperimentando avvisi differenziati per le specifiche piattaforme e manca la capacità di agire sui dati di cui ha bisogno. Questo non significa che non siano stati fatti grandi progressi, ma in un mondo di minacce che avanzano costantemente sappiamo di dover fare di meglio. Continua a leggere per altri approfondimenti dell'ex CISO e analista di Gartner, e attuale vicepresidente della cybersecurity di Trend Micro, Greg Young mentre illustra come XDR stia finalmente mantenendo le promesse fatte.

Il sovraccarico

In caso di attacco, i team di sicurezza devono essere in grado di ricostruire ciò che è accaduto e come questo ha influenzato l'intero ambiente IT perché, come sapete, gli attacchi spesso si bloccano nelle piattaforme in silo. È un compito arduo da portare a termine, considerando che il 27% dei professionisti IT riceve ogni giorno più di un milione di avvisi di sicurezza1 e che, secondo un recente sondaggio di ESG, il 60% delle aziende utilizza almeno 25 prodotti tecnologici afferenti al settore della cybersecurity2.

La maggior parte delle aziende utilizza almeno 25 distinti prodotti per la cybersecurity

In un mondo perfetto sono necessari rilevamento e risposta rapidi in tutto l'ambiente IT. Ma se il SOC riceve i dati in silo, come accade in molte aziende, probabilmente dovrà utilizzare l'EDR per ottenere una visibilità dettagliata delle attività sospette sugli endpoint, poi una vista separata per silo degli allarmi di sicurezza della rete e dell'analisi del traffico e così via. Ogni prodotto finirà per generare la propria prospettiva dell'attacco, senza offrire informazioni correlate o una visione consolidata dell'intera catena di eventi. E spesso, per rendere ancora più difficile la correlazione degli elementi, tali prodotti offrono livelli di dettaglio diversi.

Entra in gioco XDR

È qui che entra in gioco la tecnologia di rilevamento e risposta estesa, o XDR, che collega i dati provenienti da email, server, endpoint, workload in cloud e reti per ricostruire l'intera storia dell'attacco, come promesso. L'approccio XDR offre un rilevamento e una risposta più rapidi in tutto l'ambiente, in quanto rompe i silo e permette di comprendere l'intera storia invece di costringere il team SOC a indagare tra allarmi pieni di rumore e poi a cercare di capire come rispondere sulle diverse console. XDR riceve i dati di telemetria da tutto l'ambiente IT, utilizzando automazione e big data per ricostruire la storia e fa risparmiare tempo al SOC.

A differenza di un approccio API, in cui ci si limita a interrogare i set di dati nei silo, le informazioni possono essere raggruppate in un data lake in cloud per consentire un'analisi più approfondita e generare viste dettagliate alle quali forse non si sapeva neppure di dover guardare. Con il rilevamento correlato della tecnologia XDR, è possibile filtrare automaticamente gli eventi, i comportamenti e le azioni "a bassa affidabilità" all'interno o attraverso i livelli di sicurezza, utilizzando il machine learning, l'accumulo dei dati e altre tecniche di analisi big data per creare un quadro più ampio e agire rapidamente, perché quando diventa possibile vedere e proteggere con sicurezza l'intero panorama tecnologico si può potenziare la propria azienda secondo modelli nuovi e strategici.

Mappatura rispetto a MITRE ATT&CK

Molte organizzazioni stanno iniziando a utilizzare MITRE ATT&CK per migliorare le loro attività di sicurezza, assicurandosi di essere adeguatamente attrezzate per i comuni comportamenti degli attaccanti. MITRE ATT&CK raccoglie e classifica le tattiche, le tecniche e le procedure di attacco più comuni e quindi organizza queste informazioni in un quadro di riferimento. Quando si tratta di soluzioni XDR, la mappatura al framework MITRE ATT&CK permette di ottenere un contesto più ampio per un rilevamento più rapido e avvisi maggiormente affidabili. Questo framework può essere utilizzato per aiutare a spiegare come si comportano gli attaccanti, cosa stanno cercando di fare e come stanno agendo per farlo. In effetti MITRE ATT&CK è stato recentemente testato contro APT29 ottenendo risultati molto interessanti.

Permetti ai tuoi addetti di rendere al massimo

Con la carenza di competenze predominante nel settore il desiderio è che gli addetti siano in grado di lavorare su attività significative, ma ciò è complicato con la marea di allarmi provenienti da soluzioni monovettoriali che occupano il tempo della loro giornata. Correlando automaticamente i dati sulle minacce provenienti da più fonti, XDR velocizza e rimuove i passaggi manuali coinvolti nelle indagini e consente agli analisti della sicurezza di ricostruire rapidamente l'intera storia di un attacco. La rimozione degli eventi a bassa affidabilità e delle attività ripetitive permette loro di lavorare sui progetti di valore necessari per mettere in sicurezza l'azienda e garantire la tranquillità.

Ulteriori informazioni sulla vera frontiera del 2021 nel campo di XDR.

  1. Casey, T. (28 maggio 2018). Indagine: Il 27% dei professionisti IT riceve ogni giorno più di 1 milione di avvisi di sicurezza: Imperva. Recuperato da https://www.imperva.com/blog/27-percent-of-it-professionals-receive-more-than-1-million-security-alerts-daily/
  2. Oltsik, J. and Clark, J, (agosto 2020). Security Infrastructure and Market Changes in Progress, Enterprise Strategy Group