Extended Detection and Response (XDR)
Che cos’è XDR?
Con XDR si intende “cross-layered detection and response”, ovvero rilevamento e risposta a livelli incrociati. XDR raccoglie e mette in correlazione i dati su un’ampia gamma di livelli di sicurezza, compresi gli endpoint, le email, i server, i carichi di lavoro cloud e la rete generale. XDR è un nuovo approccio alternativo al rilevamento e alla risposta tradizionali agli incidenti, in cui le procedure di rilevamento e risposta vengono integrate in più ambienti.
Come funziona XDR
Le minacce progettate in modo minuzioso possono essere difficili da rilevare perché operano tra i compartimenti stagni della sicurezza, ovvero più approcci di sicurezza eseguiti in parallelo ma non necessariamente in sinergia. A causa della loro capacità di annidarsi tra i compartimenti stagni della sicurezza, possono diffondersi o moltiplicarsi col passare del tempo. Di conseguenza, possono eludere l’attenzione di un SOC (Security Operations Center) e causare un numero maggiore di danni.
XDR isola e disseziona queste minacce. Raccoglie e quindi mette in correlazione ogni rilevamento in base ai singoli livelli di sicurezza. Ogni “livello” rappresenta una diversa superficie di attacco: endpoint, email, rete, server e carichi di lavoro nel cloud. Le modalità specifiche con cui una soluzione XDR protegge ogni superficie di attacco vengono delineate nel white paper del fornitore della tua soluzione XDR.
Punto finale
La gestione delle attività degli endpoint è essenziale per capire come una minaccia riesca a penetrare e quindi a diffondersi da un endpoint all’altro. Con XDR, puoi utilizzare la perlustrazione degli endpoint per cercare gli IOC (Indicator of Compromise) e quindi scovarli utilizzando le informazioni raccolte dagli IOA (Indicator of Attack).
Un sistema XDR può segnalare gli eventi che si sono verificati in un endpoint, così come la provenienza di una minaccia e come è riuscita a diffondersi in più endpoint. XDR può quindi isolare la minaccia, arrestare i processi necessari ed eliminare o ripristinare i file.
Le email sono una delle superfici di attacco più grandi e sono quelle sfruttate con maggiore frequenza. Sono quindi un bersaglio facile, e le soluzioni XDR possono contribuire a limitare i rischi derivanti da un sistema di email. Sebbene la sicurezza delle email possa essere gestita anche con un sistema MDR (Managed Detection and Response) , una soluzione XDR mira specificamente alla sicurezza delle email.
Nell’ambito del processo di classificazione, il sistema XDR può rilevare le minacce email e identificare gli account che sono stati compromessi. È inoltre in grado di rilevare gli utenti vittime di attacchi frequenti, così come gli schemi di attacco. XDR può risalire al responsabile della minaccia partendo dai protocolli di sicurezza e chi altro potrebbe aver ricevuto l’email in questione.
Per rispondere all’attacco, XDR può mettere in quarantena le email, reimpostare gli account e anche bloccare i mittenti responsabili.
Rete
Analizzare la rete per rilevare gli attacchi e le opportunità di attacco è una procedura di vitale importanza per risolvere le problematiche di sicurezza in tutta efficienza. Con l’analisi della rete, gli eventi possono essere filtrati, contribuendo a identificare i punti di vulnerabilità, ad esempio i dispositivi non gestiti e IoT (Internet of Things). Se le minacce tendono a derivare da ricerche su Google, email o attacchi gestiti in modo efficiente, l’analisi della rete può individuare la vulnerabilità sottostante.
XDR può rilevare il comportamento problematico all’interno della rete e quindi individuare i dettagli della minaccia, comprese le sue modalità di comunicazione e i suoi spostamenti nell’azienda. Queste operazioni possono essere svolte indipendentemente dalla posizione di una minaccia nella rete, da un ESG (Edge Services Gateway) a un server centrale. XDR può quindi segnalare agli amministratori informazioni sulla portata dell’attacco, in modo che possano trovare rapidamente una soluzione.
Server e carichi di lavoro cloud
Proteggere i server e l’infrastruttura cloud implica procedure che, ad alto livello, sono simili a quelle utilizzate per proteggere gli endpoint. Le minacce devono essere esaminate per capire come sono giunte alla rete e come sono state in grado di diffondersi.
XDR ti offre la possibilità di isolare le minacce progettate appositamente per concentrarsi in server, container e carichi di lavoro cloud. XDR quindi indaga su come la minaccia sta influenzando il carico di lavoro ed esamina come si sta propagando nel sistema. Quindi isola il server e arresta i processi necessari per contenere la minaccia. L’isolamento delle minacce è una componente chiave per ridurre il tempo medio di recupero dagli attacchi.
Ad esempio, se una minaccia ha ottenuto l’accesso alla rete cloud tramite un endpoint IoT, XDR può identificarne la provenienza. Puoi quindi visualizzare i motivi dietro la violazione della sicurezza e sfruttare queste informazioni per elaborare un piano d’attacco.
XDR può anche essere un’aggiunta efficace a una suite di prodotti di sicurezza perché aiuta a capire in che modo la minaccia ha colpito il carico di lavoro del server. Se ha rallentato l’elaborazione o ha danneggiato i dati, XDR può segnalare in che misura si è verificato questo evento. Successivamente, XDR può arrestare qualsiasi processo che potrebbe favorire la diffusione della minaccia. In un ambiente cloud che supporta una vasta gamma di punti di connessione, l’arresto dei processi può evitare ingenti perdite di dati o la sospensione completa di segmenti cruciali delle tue operazioni.
Server e carichi di lavoro cloud
Un sistema XDR può inserire le informazioni in un data lake (un repository centralizzato di dati non elaborati) e renderle innocue. A tale scopo, avvia la perlustrazione a livelli incrociati per rilevare le minacce, quindi le scova, ne approfondisce le caratteristiche e le elimina.
XDR e rilevamento delle minacce tradizionale
XDR differisce dal rilevamento delle minacce tradizionale in quanto mira specificamente a risolvere i problemi creati da un approccio a compartimenti stagni. Una delle modalità con cui XDR elimina i compartimenti stagni in un sistema è attraverso la segmentazione delle superfici di attacco nelle loro categorie principali. In questo modo, si ottiene una soluzione relativamente completa per email, reti, server e carichi di lavoro cloud.
XDR si comporta in modo diverso non solo in termini di rilevamento e identificazione delle minacce, ma anche in termini di risposta a queste. Alcuni sistemi di rilevamento delle minacce si limitano a rilevare le minacce senza intraprendere azioni decisive per eliminarle. In base alle tue esigenze, questo aspetto di XDR potrebbe non essere utile, in particolare se vuoi avere un più ampio margine di manovra su come rispondere alle minacce.
XDR può essere uno strumento utile anche per la gestione degli avvisi. Un sistema di sicurezza può essere inondato da una serie di avvisi, e la loro gestione può talvolta richiedere sforzi enormi, che si sommano a quelli già necessari per affrontare le minacce stesse. Un sistema XDR può consolidare gli avvisi che, sebbene desiderabili, potrebbero non contenere informazioni fruibili, aiutando gli amministratori a concentrarsi sugli avvisi che richiedono misure definitive.
Poiché XDR rileva e, al contempo, risponde alle minacce, un team di sicurezza potrebbe risparmiare tempo e risorse con l’implementazione di XDR. Ad esempio, se il team IT sa come vuole rispondere a ogni minaccia e la soluzione XDR offre questa capacità, può coprire diverse basi contemporaneamente, usando il sistema XDR per identificare e isolare le minacce, nonché arrestare i processi problematici coinvolti.
XDR ed EDR (Endpoint Detection and Response)
EDR differisce da XDR in quanto la “E” si riferisce specificamente agli endpoint, mentre la “X” in XDR indica che gestisce anche i dati di reti e cloud.
Se disponi già di una soluzione di sicurezza per la rete e l’infrastruttura cloud, è preferibile utilizzare una soluzione EDR come FortiEDR. Potrebbe essere difficile integrare un sistema XDR con la tua attuale soluzione di sicurezza di rete, e la ridondanza può generare più ostacoli che opportunità.
XDR e NTA (Network Traffic Analysis)
Sia XDR che NTA sono in grado di rilevare le minacce. Un sistema NTA si concentra sul riconoscimento dello schema, e può quindi fornire una risposta immediata ai pacchetti di dati che violano lo schema previsto. Ad esempio, se in genere un server riceve traffico da Stati Uniti, Canada e Brasile, ma improvvisamente inizia a ricevere traffico dalla Russia, un sistema NTA può essere usato per eliminare la potenziale minaccia.
NTA può quindi essere una soluzione migliore di XDR se le minacce che la tua azienda deve affrontare possono essere isolate utilizzando questo tipo di rilevamento di schemi.
XDR e SIEM (Security Information and Event Management)
XDR si differenzia dai sistemi SIEM per il fatto che viene fornito con soluzioni di risposta. Anche se il sistema SIEM può essere integrato con una soluzione di risposta, si concentra sul rilevamento delle minacce, non sulla risposta ad esse. Se vuoi progettare una soluzione personalizzata in grado di rispondere alle minacce, un sistema SIEM come FortiSIEM può essere la scelta migliore in termini di XDR.
In alcuni casi, XDR può rilevare e rispondere automaticamente a una minaccia anche quando non rappresenta un reale pericolo. Una risposta prematura come questa può danneggiare la tua azienda. Con SIEM, hai tutta la libertà di decidere come rispondere a ogni minaccia, con la possibilità di evitare di interrompere o arrestare le operazioni inutilmente.
XDR e SOAR (Security Orchestration, Automation, and Response)
Sebbene XDR riesca a rilevare e rispondere correttamente alle minacce nel proprio ecosistema, SOAR può farlo altrettanto bene. Può inoltre essere utilizzato per contribuire a gestire le policy di sicurezza e la segnalazione.
Se la tua risposta immediata alle minacce è efficace ma hai bisogno di un sistema che contribuisca all’implementazione generale delle policy di sicurezza, una soluzione come FortiSOAR può essere la scelta migliore in termini di XDR. L’implementazione di una soluzione XDR rispetto a un sistema di risposta alle minacce efficace già esistente può richiedere più tempo di quello che hai a disposizione, senza garantire risultati migliori rispetto alla soluzione esistente.
Visibilità totale degli attacchi
FortiClient consente di rilevare i rischi, monitorarli e valutare l’entità dell’esposizione che ne deriva. Questo discorso vale per tutta una serie di endpoint, offrendoti la flessibilità necessaria per adattare il tuo approccio di sicurezza alle esigenze della tua azienda.
Inoltre, FortiClient fornisce una difesa contro le minacce avanzate e, come componente centrale della telemetria, può comunicare automaticamente le informazioni sulle minacce che elimina. Poiché si integra perfettamente con il Fortinet Security Fabric, puoi integrare un’automazione basata su policy che può contenere le minacce e prevenire la loro diffusione. Se disponi già di una soluzione di sicurezza Fabric-Ready, FortiClient può interagire con questa per rendere la soluzione di sicurezza della tua azienda ancora più solida. Sia che le operazioni vengano rallentate a causa della pandemia di COVID-19 o che si sia in fase di ripresa, questo è il momento giusto per fruire di rilevamento e risposta integrati con FortiClient.
