Extended Detection and Response (XDR) vi porta al prossimo livello della sicurezza informatica

Queste sono le condizioni che hanno indotto i fornitori di sicurezza informatica a sviluppare Endpoint Detection and Response (EDR). È una soluzione che individua comportamenti sospetti e anomalie sui terminali e che è in grado di reagire in modo automatico in caso di sospetto, ad esempio mettendo i file sospetti in quarantena. La visione rimane però limitata ai singoli dispositivi. Per ottenere un quadro completo occorre una più complessa correlazione in un SIEM (Security Information and Event Management) o SOAR (Security Orchestration, Automation and Response), sistemi anch’essi di per sé complessi.

Per ottenere una visione d’insieme di operazioni sospette in un pacchetto bisogna arrivare a un ulteriore sviluppo: XDR (Extended Detection and Response). Questo sistema estende la funzionalità EDR ai dispositivi di rete e ai servizi cloud. «In questo modo possiamo seguire gli eventi lungo l’intero svolgimento e riconoscere i nessi tra i singoli passi», così Yannick Schuitemaker, Security Analyst presso Swisscom, spiega i vantaggi di XDR rispetto a EDR.

Questo facilita il lavoro degli analisti della sicurezza, spiega Schuitemaker: «Senza XDR avevamo solo una visione limitata, ad esempio sulla base dei logfile di un proxy. Oggi possiamo vedere direttamente l’intera comunicazione dell’attacco». In combinazione con la correlazione di eventi basata su machine learning, XDR agevola la ricerca in caso di alert. E consente ai tecnici della security di reagire più rapidamente, e soprattutto di reagire prima. Le capacità di risposta di XDR permettono spesso, ad esempio, di arrestare un attacco di ransomware prima che dilaghi nell’intera rete aziendale e prima che vengano criptati importanti dati aziendali.

XDR offre così una piattaforma centralizzata per le analisi e le prime operazioni di difesa in caso di cyberattacchi. In determinate circostanze permette anche di sostituire diversi singoli tool nel Security Operations Center o persino un SIEM complesso. Questo agevola molto il lavoro non solo degli analisti della sicurezza, ma anche del CFO, che può risparmiare sui costi delle licenze.

La correlazione automatica degli alert su tutta l’infrastruttura riduce anche il numero di segnalazioni che gli analisti devono considerare. «Questo ci aiuta a concentrarci maggiormente su ogni segnalazione ed evitare il rischio di un alert fatigue», afferma Schuitemaker.

Il riconoscimento di XDR alleggerisce molto il lavoro di routine dei tecnici della security. E sfrutta i vantaggi di una piattaforma cloud: gli attacchi noti sono riconosciuti da XDR a livello centrale, mentre nuovi modelli di riconoscimento sono messi a disposizione di tutti gli utenti. «Questo contribuisce ad incrementare la qualità del riconoscimento degli attacchi e ci risparmia anche del lavoro», racconta Schuitemaker, evidenziando i benefici di questo sistema. «Possiamo impiegare le nostre competenze per casi particolari, al posto di doverci preoccupare di lavori di routine».

XDR significa quindi sgravare i tecnici informatici dedicati alla cybersecurity, tanto rari sul mercato. Ma non vuol dire sostituirli. «In caso di dubbio, è sempre la persona a decidere sulle misure di risposta da adottare», afferma Schuitemaker. «Infatti, ogni infrastruttura è diversa.» La reazione umana è fondamentale per potere agire correttamente in quella zona grigia di anomalie e per distinguere i cyberattacchi da comportamenti insoliti, ma intenzionali.

La capacità di Extended Detection and Response di riconoscere i cyberattacchi sull’intera infrastruttura e di avviare operazioni di difesa permette ai tecnici informatici di risparmiare parecchio lavoro tedioso. Si liberano così risorse per la difesa effettiva, mentre la Security Posture, ossia la protezione informatica delle aziende, passa al prossimo livello.