Cos'è l'XDR (rilevamento e la risposta estesi)?

Quella di rilevamento e risposta estesi (XDR) è un’architettura aperta di cybersecurity che integra gli strumenti di sicurezza e unifica le operazioni di sicurezza in tutti i livelli di sicurezza: utenti, endpoint, e-mail, applicazioni, reti, carichi di lavoro cloud e dati. Con XDR, le soluzioni di sicurezza che non sono necessariamente progettate per lavorare insieme possono interoperare senza problemi per la prevenzione, il rilevamento, l’analisi e la risposta alle minacce.

L'XDR elimina le lacune di visibilità tra strumenti e livelli di sicurezza, consentendo ai team di sicurezza già oberati di lavoro di rilevare e risolvere le minacce in modo più rapido ed efficiente e di acquisire dati più completi e contestualizzato per prendere migliori decisioni sulla sicurezza e prevenire futuri attacchi informatici.

L'XDR è stato definito per la prima volta nel 2018, ma il modo in cui i professionisti della sicurezza e gli analisti del settore parlano di XDR si è evoluto rapidamente da allora. Ad esempio, molti esperti della sicurezza descrivono per la prima volta l'XDR come un rilevamento e risposta degli endpoint (EDR) sotto steroidi, esteso a tutti i livelli di sicurezza aziendali. Oggi, invece, gli esperti vedono il potenziale dell'XDR come molto più della somma degli strumenti e delle funzionalità che integra, sottolineando vantaggi come la visibilità end-to-end sulle minacce, un'interfaccia unificata e workflow ottimizzati per il rilevamento, l’indagine e la risposta alle minacce.

Inoltre, analisti e fornitori hanno classificato le soluzioni XDR come XDR nativo, che integra solo gli strumenti di sicurezza del fornitore di soluzioni o XDR aperto, che integra tutti gli strumenti di sicurezza nell'ecosistema di sicurezza di un'organizzazione, indipendentemente dal fornitore. Ma è sempre più evidente che i team di sicurezza aziendale e i security operations center (SOC) si aspettano che anche le soluzioni XDR native siano aperte, offrendo la flessibilità necessaria per integrare gli strumenti di sicurezza di terze parti che utilizzano ora o che potrebbero scegliere in futuro.

Oggi le organizzazioni sono bombardate da minacce avanzate (chiamate anche minacce persistenti avanzate), che superano di nascosto le misure di prevenzione degli endpoint e si nascondono nella rete per settimane o mesi spostandosi, ottenendo autorizzazioni, rubando dati e raccogliendo informazioni dai diversi livelli dell'infrastruttura IT in preparazione di un attacco o una violazione dei dati su larga scala. Molti degli attacchi informatici e delle violazioni dei dati più dannosi e costosi, come attacchi ransomware, compromissione delle e-mail aziendali (BEC), attacchi distributed denial of service (DDoS) o spionaggio informatico, sono esempi di minacce avanzate.

Le organizzazioni si sono armate di decine di strumenti e tecnologie di cybersecurity per combattere queste minacce e bloccare i vettori, o metodi di attacco, che i criminali informatici utilizzano per lanciarle. Alcuni di questi strumenti si concentrano su specifici livelli di infrastruttura, altri raccolgono dati di registro e di telemetria su più livelli.

Nella maggior parte dei casi, questi strumenti sono isolati, cioè non comunicano tra loro. Tocca quindi ai team di sicurezza correlare manualmente gli avvisi per separare gli incidenti effettivi dai falsi positivi, classificare gli incidenti in base alla gravità e coordinarli manualmente per mitigare e porre rimedio alle minacce. Secondo il Cyber Resilient Organization Study 2021 di IBM, il 32% delle organizzazioni ha segnalato l'utilizzo di 21-30 strumenti di sicurezza individuali in risposta a ciascuna minaccia, mentre il 13% ha dichiarato di utilizzare 31 o più strumenti.

Di conseguenza, le minacce avanzate richiedono troppo tempo per essere identificate e contenute. Il report IBM's Cost of a Data Breach 2022 ha rivelato che ci vogliono 277 giorni per rilevare una normale violazione dei dati e risolvere il problema. In base a questa media, una violazione avvenuta il 1° gennaio viene contenuta fino al 4 ottobre.

Abbattendo i silo tra soluzioni mirate specifiche per livello, l'XDR promette ai team di sicurezza e ai SOC sovraestesi la visibilità e l'integrazione end-to-end di cui hanno bisogno per identificare, rispondere e risolvere più velocemente le minacce e per ridurre al minimo i danni che possono causare.

In un tempo relativamente breve dalla sua introduzione, l'XDR ha iniziato a fare la differenza. Secondo Cost of a Data Breach 2022, le organizzazioni che hanno implementato l'XDR hanno ridotto il ciclo di vita delle violazioni dei dati del 29% i costi di violazione del 9% in media rispetto alle organizzazioni senza XDR.

L'XDR viene generalmente utilizzato come soluzione basata sul cloud o software as a service (SaaS); un analista del settore, Gartner, definisce l'XDR come "SaaS-based". Può anche essere la tecnologia principale che guida l'offerta di rilevamento e risposta gestiti (MDR) di un fornitore di soluzioni cloud o di sicurezza.

Le soluzioni di sicurezza XDR possono integrare:

• Strumenti di sicurezza individuali (o soluzioni mirate) come antivirus, analisi del comportamento degli utenti e delle entità (UEBA) o firewall;
  
  
• Soluzioni per la sicurezza specifiche per livello quali EDR, piattaforme per la protezione degli endpoint (EPP), rilevamento e risposta della rete (NDR) o analisi del traffico di rete (NTA);
  
  
• Soluzioni che raccolgono dati o coordinano i workflow tra i livelli di sicurezza, tra cui informazioni sulla sicurezza e gestione degli eventi (SIEM) o l'automazione e risposta dell'orchestrazione della sicurezza (SOAR).
   

Raccolta dati continua

XDR raccoglie dati di registro e telemetria da tutti gli strumenti di sicurezza integrati, creando un record sempre aggiornato di tutto ciò che accade nell'infrastruttura, come accessi (riusciti e non), connessioni di rete e flussi di traffico, messaggi e-mail e allegati, file creati e salvati, processi delle applicazioni e dei dispositivi, modifiche alla configurazione e al registro. L'XDR raccoglie anche avvisi specifici generati dai vari prodotti di sicurezza. 

Le soluzioni XDR aperte solitamente raccolgono questi dati utilizzando un'application programming interface o API. (Le soluzioni XDR native possono richiedere uno strumento di raccolta dati leggero, o agente, installato su dispositivi e applicazioni.) Tutti i dati raccolti vengono normalizzati e archiviati in un database centralizzato basato su cloud o in un data lake. 

Analisi in tempo reale e rilevamento delle minacce

L'XDR utilizza algoritmi avanzati di analisi e il machine learning per individuare modelli che indicano minacce note o attività sospette in tempo reale, man mano che si presentano.

Per farlo, l''XDR correla i dati e la telemetria tra i vari livelli dell'infrastruttura con i dati dei servizi di threat intelligence, che offrono informazioni costantemente aggiornate sulle tattiche di cyberthreat sia nuove che recenti, sui vettori e altro ancora. I servizi di threat intelligence possono essere proprietari (gestiti dal provider XDR), di terze parti o basati sulla community. La maggior parte delle soluzioni XDR mappa anche i dati su MITRE ATT&CK, una knowledge base globale liberamente accessibile sulle tattiche e le tecniche di minaccia informatica degli hacker.

L'analytics XDR e gli algoritmi di machine learning possono inoltre svolgere le proprie indagini, confrontando i dati in tempo reale con i dati storici e le linee di base stabilite per individuare attività sospette, comportamenti aberranti degli utenti finali e tutto ciò che potrebbe indicare un incidente o una minaccia di cybersecurity. Possono inoltre separare i "segnali", o minacce legittime, dal "rumore" dei falsi positivi, in modo che gli analisti della sicurezza possano concentrarsi sugli incidenti che hanno importanza. E, cosa più importante, gli algoritmi di machine learning imparano continuamente dai dati per migliorare il rilevamento delle minacce nel tempo.

L'XDR riassume i dati importanti e i risultati analitici in una console di gestione centrale che ha anche funzione da interfaccia utente (UI) della soluzione. Dalla console, i membri del team di sicurezza possono ottenere la piena visibilità su ogni problema a livello aziendale e avviare indagini, risposte alle minacce e correzioni in qualunque punto dell'infrastruttura estesa.
 

Funzionalità di rilevamento e risposta automatizzate

L'automazione è ciò che permette di ottenere risposte rapide nell'XDR. Basato su regole predefinite stabilite dal team di sicurezza o "imparate" nel tempo dagli algoritmi di machine learning, l'XDR consente risposte automatizzate che aiutano a velocizzare il rilevamento e la risoluzione delle minacce, consentendo agli analisti della sicurezza di concentrarsi su lavori più importanti. L'XDR può automatizzare attività come:

• Valutazione e assegnazione delle priorità degli avvisi in base alla gravità;
  
  
• Disconnessione o spegnimento dei dispositivi interessati, disconnessione degli utenti dalla rete, arresto di processi di sistema/applicazioni/dispositivi e disconnessione delle fonti dei dati;
  
  
• Software antivirus o antimalware per scansionare altri endpoint sulla rete alla ricerca della stessa minaccia;
  
  
• Attivazione dei playbook di risposta agli incidenti SOAR pertinenti (workflow automatizzati che orchestrano più prodotti per la sicurezza in risposta a uno specifico incidente di sicurezza).  

L'XDR può anche automatizzare le attività di indagine e correzione delle minacce (vedi la sezione successiva). Questa automazione aiuta i team di sicurezza a rispondere più rapidamente agli incidenti e a prevenire o ridurre al minimo i danni che causano.
 

Indagine e correzione delle minacce

Una volta isolata una minaccia, le piattaforme XDR forniscono funzionalità che gli analisti della sicurezza possono utilizzare per indagare ulteriormente sulla minaccia. Ad esempio, le analisi forensi e i report "track back" aiutano gli analisti della sicurezza a individuare la causa principale di una minaccia, a identificare i vari file su cui ha avuto impatto e a individuare la vulnerabilità o le vulnerabilità che l'aggressore ha sfruttato per entrare e spostarsi all'interno della rete, accedere alle credenziali di autenticazione o eseguire altre attività dannose.

Se in possesso di queste informazioni, gli analisti possono coordinare gli strumenti di correzione per eliminare la minaccia.La correzione può comportare:

• Distruggere i file dannosi ed eliminarli da endpoint, server e dispositivi di rete;
  
  
• Ripristinare configurazioni di dispositivi e applicazioni danneggiati, impostazioni di registro, dati e file di applicazioni;
  
  
• Applicare aggiornamenti o patch per eliminare le vulnerabilità che hanno portato all'incidente;
  
  
• Aggiornamento delle regole di rilevamento per prevenire una ricorrenza.
   

Supporto per il rilevamento delle minacce

Il rilevamento delle minacce (chiamato anche cyberthreat hunting) è un esercizio proattivo sulla sicurezza in cui un analista della sicurezza cerca minacce sconosciute o minacce conosciute ancora da rilevare o rimediare utilizzando gli strumenti automatizzati di cybersecurity delle organizzazioni.

Anche in questo caso, le minacce avanzate possono rimanere in agguato per mesi prima di essere rilevate, preparandosi per un attacco o una violazione su larga scala. Un rilevamento delle minacce efficace e tempestivo può ridurre il tempo necessario per rilevare e porre rimedio a tali minacce e limitare o prevenire i danni derivanti dall'attacco.

I rilevatori di minacce utilizzano una varietà di tattiche e tecniche che si basano sulle stesse fonti di dati, analisi e funzionalità di automazione che l'XDR utilizza per il rilevamento, la risposta e la riparazione delle minacce. Ad esempio, un analista di rilevamento delle minacce potrebbe voler cercare un particolare file, una modifica della configurazione o un altro artefatto basato sull'analisi forense, oppure i dati di MITRE ATT&CK che descrivono i metodi di un particolare criminale informatico.

Per supportare questi sforzi, l'XDR mette le funzionalità di analytics e automazione a disposizione degli analisti della sicurezza attraverso strumenti programmatici o basati sull'interfaccia utente, in modo che possano eseguire ricerche ad hoc, query di dati, correlazioni con l'intelligence sulle minacce e altre indagini. Alcune soluzioni XDR includono strumenti creati appositamente per il rilevamento delle minacce, come semplici linguaggi di scripting (per automatizzare le attività comuni) e persino strumenti di query in linguaggio naturale.