XDR cos’è, perché tutti ne parlano, a cosa serve e perché è il nuovo senso, unico, della security aziendale? Intanto il vocabolario che, come sempre, è un prezioso punto di partenza per capire e decifrare in trend dirompenti che oggi animano il mercato ICT.
In pratica parliamo dell’acronimo che abbrevia la formula: extended detection and response, in italiano rilevamento e risposta estesi ovvero uno degli acronimi più importanti della sicurezza informatica oggi, come certificato per altro al recente e prestigioso appuntamento con la RSA Conference
«In questo momento, intorno al fenomeno XDR c’è una attenzione fortissima che sta portando imprese e utanti, spesso a fare confusione – racconta Allie Mellen, analista di Forrester Research -. Non solo, oggi più che mai è importante, per CIO, Ciso e manager avere le idee chiare per valutare con grande attenzione i fornitori che pubblicizzano e propongono proprio i prodotti XDR».
[La corsa verso l’innovazione, la trasformazione digitale e, allo stesso tempo, la paura di cyber rischi, truffe e blocchi. Vuoi risolvere il rompicapo della sicurezza?
Scopri come e perché la rivoluzione XDR è il nuovo senso unico della tua security aziendale.
Ti aspettiamo (registrazione libera e partecipazione previa conferma da parte della segreteria organizzativa) il prossimo 20 settembre alle 14:00 presso la prestigiosa Villa Campari di Sesto San Giovanni.
Qui tutti i dettagli per partecipare]
XDR Cos’è
Ma allora XDR cos’è nel concreto? Di fatto grazie a una combinazione centralizzata di analisi di rete ed endpoint, analisi comportamentale, tecniche di data science e intelligence sulle minacce, XDR aiuta gli analisti a rilevare e risolvere attacchi noti e sconosciuti automatizzando e orchestrando il ciclo di vita della risposta agli incidenti. Con queste funzionalità su un’unica piattaforma, i team di sicurezza possono comprimere strumenti e dati disparati in un’interfaccia utente potente e incredibilmente veloce.
«XDR mira a fornire un modo più semplice, veloce e automatizzato per rispondere a queste sfide» spiega Mellen.
Perché è diverso da Siem e Soar
Nonostante le sue forti somiglianze con SIEM (Security Information and Event Management) e orchestrazione, automazione e risposta della sicurezza (SOAR), extended detection and response non è un’estensione di queste tecnologie. In effetti, XDR sottrae molti casi d’uso alle due tecnologie di cui sopra.
«Uno dei principali vantaggi di XDR rispetto a SIEM e SOAR – spiega Allie Mellen -, è che, mentre quest’ultimo si basa sulle integrazioni per eseguire le risposte, EDR e XDR eseguono le risposte in modo nativo. E, a differenza dei sistemi SIEM o SOAR – che raccolgono dati, eseguono analisi e spesso finiscono con un numero elevato di falsi positivi, XDR completa le risposte sugli endpoint stessi, sia su un dispositivo fisico, nel cloud o in tecnologie integrate.
Non è detto che le piattaforme di analisi della sicurezza o i SIEM siano tecnologie pessime. Sono ottime per ciò che abbiamo dovuto affrontare fino a oggi – spiega Mellen -. Ma questa nuova piattaforma porta l’innovazione di rilevamento e risposta su un altro livello di efficacia. Con la maturazione questa soluzione sostituirà le piattaforme di analisi della sicurezza, inclusi SIEM e SOAR, per tutto tranne che per la conformità, una funzionalità che XDR non offre»
XDR è tutto incentrato sulle integrazioni
«Se una piattaforma XDR – spiega ancora l’analista di Forrester – è integrata con un sistema di posta elettronica aziendale e un dipendente cade vittima di un attacco di phishing che distribuisce un documento Word con macro dannose, ad esempio, XDR può rilevare cosa è successo sull’endpoint e fornire all’analisi SOC un contesto approfondito dell’incidente. La sicurezza della posta elettronica, la sicurezza del cloud e la sicurezza della rete sono tre delle maggiori capacità di integrazione di extended detection and response».
NetWitness Platform XDR 12, il nuovo aggiornamento della piattaforma XDR
Nuove e più avanzate capacità di analisi, in grado di individuare le minacce note e sconosciute ancora più rapidamente, riducendo così i i tempi di permanenza e consentendo un’adeguata risposta e bonifica prima ancora che gli avversari possano portare a termine con successo un attacco. Queste le novità contenute in NetWitness Platform XDR 12, il nuovo aggiornamento della piattaforma XDR di “extended detection and response” di NetWitness, vendor globale specializzato nelle tecnologie di cybersecurity. Un aggiornamento che segna una pietra miliare nella storia di NetWitness, realtà nata come progetto di ricerca sponsorizzato dal governo per ispezionare i pacchetti di rete alla ricerca di minacce informatiche, nonché di strumenti per rilevarle e rispondervi. Grazie alla sua continua evoluzione, NetWitness dispone ora di componenti completamente integrati per il rilevamento e la risposta per reti, log, endpoint e IoT.
In particolare, NetWitness Platform XDR 12 si concentra sul rilevamento sofisticato, ritenuto il fulcro di una difesa efficace dalle minacce sempre più micidiali portate avanti dai cybercriminali. Con la nuova release, infatti, le organizzazioni possono ottenere una piena visibilità su tutti i piani di dati chiave, tra cui rete, log, endpoint e Internet of Things (IoT). XDR12 prevede orchestrazione, automazione e risposta alla sicurezza (SOAR) complete, mettendo altresì a disposizione una piattaforma di intelligence sulle minacce (TIP) completa, l’analisi del comportamento di utenti ed entità (UEBA), nuove analisi e la prioritizzazione degli asset.
Tutte queste caratteristiche sono facilmente visualizzabili grazie a un’unica interfaccia e a un modello di dati unificato. In questo modo NetWitness Platform XDR 12 riesce inoltre a semplificare la distribuzione e la gestione di pacchetti di contenuti per il rilevamento delle minacce, mirati a specifiche categorie di minacce, settori verticali e casi d’uso, garantendo una copertura più efficace delle minacce. Non meno importante è poi la capacità di NetWitness Platform XDR di integrarsi direttamente con gli strumenti più critici e diffusi al mondo, oltre che con molte soluzioni specializzate e specifiche del settore sicureza.
Sulla capacità di semplificazione offerta dalla nuova release insiste Kevin Bowers, Direttore, Product Management di NetWitness: “I team di sicurezza hanno bisogno di strumenti in grado di riunire le informazioni provenienti da più fonti di dati e di fornire avvisi completi e attuabili– ha dichiarato – Abbracciando questo principio, NetWitness ha realizzato la funzionalità XDR molto prima che questa espressione diventasse di uso comune. Questa versione mantiene la promessa di XDR: la possibilità per i team di sicurezza di rilevare gli attacchi su tutte le risorse informative e l’intera infrastruttura e di fermarli prima che causino danni”.
Bill Hart, Senior Product Manager per NetWitness Platform XDR, pone invece l’accento sulle differenze rispetto alla concorrenza: “Da tempo abbiamo integrato i piani di dati primari (rete, endpoint, log e IoT) in un modello di dati unificato, che consente capacità di rilevamento avanzate indipendenti dalla fonte dei dati. Altri, che hanno recentemente adottato una strategia XDR, analizzano ancora diversi tipi di dati in silos e cercano di correlarli a livello di allarme, lasciando così delle lacune di visibilità. Il rilevamento di attacchi sofisticati e multivettoriali richiede un’integrazione e un’analisi olistica a livello di dati”.
