Rilevamento e risposta estesi o XDR, è un'architettura di cybersecurity (sicurezza informatica) aperta che integra gli strumenti di sicurezza e unifica le operazioni di sicurezza su tutti i livelli di sicurezza: utenti, endpoint, email, applicazioni, reti, carichi di lavoro cloud e dati. Con XDR, le soluzioni di sicurezza che non sono necessariamente progettate per lavorare insieme possono interagire senza problemi sulla prevenzione, il rilevamento, l'analisi e la risposta delle minacce.
XDR elimina le lacune di visibilità tra gli strumenti e i livelli di sicurezza, consentendo ai team di sicurezza sovraccarichi di rilevare e risolvere le minacce in modo più rapido ed efficiente e di acquisire dati più completi e contestuali per prendere migliori decisioni in materia di sicurezza e prevenire futuri attacchi informatici.
XDR è stata definita per la prima volta nel 2018, ma da allora il modo in cui i professionisti della sicurezza e gli analisti del settore parlano di XDR si è evoluto rapidamente. Ad esempio, molti esperti di sicurezza descrivono l'XDR come un sistema di rilevamento e risposta degli endpoint (EDR) sotto steroidi, esteso a tutti i livelli di sicurezza aziendali. Ma oggi gli esperti vedono il potenziale di XDR molto più della somma degli strumenti e delle funzionalità che integra, sottolineando i vantaggi come la visibilità delle minacce end-to-end, l'interfaccia unificata e i flussi di lavoro ottimizzati per il rilevamento delle minacce, l'analisi e la risposta.
Inoltre, gli analisti e i venditori hanno classificato le soluzioni XDR come native XDR, che integrano solo strumenti di sicurezza del fornitore della soluzione, o come XDR aperte, che integrano tutti gli strumenti di sicurezza dell'ecosistema di sicurezza di un'organizzazione indipendentemente dal fornitore. Ma è diventato sempre più chiaro che i team di sicurezza aziendali e i centri operativi di sicurezza (SOC) si aspettano che anche le soluzioni native XDR siano aperte, fornendo la flessibilità necessaria per integrare gli strumenti di sicurezza di terze parti che utilizzano attualmente o che potrebbero preferire in futuro.
Oggi le organizzazioni sono bombardate da minacce avanzate (chiamate anche minacce persistenti avanzate). Queste minacce oltrepassano le misure di prevenzione degli endpoint e si nascondono nella rete per settimane o mesi, spostandosi, ottenendo autorizzazioni, rubando dati e raccogliendo informazione dai diversi livelli dell'infrastruttura IT in preparazione di un attacco su larga scala o di una violazione dei dati. Molti degli attacchi informatici e delle violazioni dei dati più dannosi e costosi— attacchi ransomware, compromissione delle email aziendali (BEC), attacchi DDos (distribuited denial of service), spionaggio informatico — sono esempi di minacce avanzate.
Le organizzazioni si sono armate di decine di strumenti e tecnologie di cybersecurity per combattere queste minacce e chiudere i vettori di attacco, o metodi, che i criminali informatici utilizzano per lanciarle. Alcuni di questi strumenti si concentrano su livelli specifici dell'infrastruttura; altri raccolgono dati di log e telemetria tra livelli multipli.
Nella maggior parte dei casi questi strumenti sono suddivisi in silos (isolati): non si parlano tra di loro. Questo lascia ai team di sicurezza la possibilità di correlare manualmente gli avvisi per separare gli incidenti reali dai falsi positivi e di suddividere gli incidenti in base alla gravità, —e di coordinarli manualmente per mitigare e correggere le minacce. Secondo Cyber Resilient Organization Study del 2021 di IBM, il 32% delle organizzazioni ha riferito di utilizzare da 21 a 30 strumenti di sicurezza individuali in risposta a ciascuna minaccia; Il 13% ha riferito di utilizzare 31 o più strumenti.
Di conseguenza, le minacce avanzate richiedono troppo tempo per essere identificate e contenute. Il rapporto di IBM Cost of a Data Breach 2022 rivela che la violazione media dei dati ha richiesto 277 giorni per essere rilevata e risolta. Sulla base di questa media, una violazione verificatasi il 1° gennaio non sarebbe stata contenuta fino al 4 ottobre.
Abbattendo i confini tra soluzioni specifiche per ogni livello, XDR offre ai team di sicurezza ed ai SOC sovraccarichi di lavoro, la visibilità e l'integrazione end-to-end di cui hanno bisogno per identificare le minacce più velocemente, rispondere loro più velocemente e risolverle più velocemente—riducendo al minimo il danno che causano.
In un periodo relativamente breve dalla sua introduzione, XDR sta facendo la differenza. Secondo Cost of a Data Breach 2022, le organizzazioni che hanno implementato XDR hanno ridotto il ciclo di vita della violazione dei dati del 29% ed hanno ridotto i costi delle violazioni in media del 9% rispetto alle organizzazioni senza XDR.
L'XDR viene in genere utilizzato come soluzione basata su cloud o come software come servizio (SaaS) ; un analista del settore, Gartner, definisce l'XDR come "basato su SaaS". Potrebbe anche essere la tecnologia principale che guida l'offerta di rilevamento e risposta gestita (MDR) di un fornitore di soluzioni cloud o di sicurezza .
Le soluzioni di Sicurezza XDR possono integrare:
- Strumenti individuali di sicurezza (o soluzioni puntuali) come software antivirus, analisi del comportamento di utenti e entità (UEBA) o firewall;
- Soluzioni di sicurezza specifiche per i livelli, come EDR, piattaforme di protezione degli endpoint (EPP), rilevamento e risposta della rete (NDR) o analisi del traffico di rete (NTA);
- Soluzioni che raccolgono dati o coordinano flussi di lavoro tra i vari livelli di sicurezza, tra cui la gestione delle informazioni e degli eventi di sicurezza (SIEM) o l'orchestrazione, l'automazione e la risposta della sicurezza (SOAR).
Raccolta continua dei dati
XDR raccoglie i dati di log e la telemetria di tutti gli strumenti di sicurezza integrati, creando di fatto un registro continuamente aggiornato di tutto ciò che accade nell'infrastruttura: accessi (riusciti e non riusciti), connessioni di rete e flussi di traffico, messaggi email e allegati, file creati e salvati, processi di applicazioni e dispositivi, modifiche alla configurazione e al registro. XDR raccoglie anche gli avvisi specifici generati dai vari prodotti di sicurezza.
Le soluzioni XDR aperte in genere raccolgono questi dati utilizzando un'interfaccia di programmazione dell'applicazione aperta, o API. (Le soluzioni XDR native possono richiedere un leggero strumento di raccolta dati, o agente, installato su dispositivi e applicazioni.) Tutti i dati raccolto vengono normalizzati e memorizzati in un database centrale basato su cloud o data lake.
Analisi in tempo reale e rilevamento delle minacce
XDR utilizza algoritmi avanzati di analisi e machine learning per identificare i modelli che indicano minacce note o attività sospette in tempo reale, mentre si svolgono.
Per fare questo, XDR correla i dati e la telemetria attraverso i vari livelli dell'infrastruttura con i dati dei servizi di intelligence delle minacce , che forniscono informazioni costantemente aggiornate su tattiche, vettori e altro ancora. I servizi di intelligence sulle minacce possono essere proprietari (gestiti dal provider XDR ), di terze parti o basati sulla community. La maggior parte delle soluzioni XDR mappa i dati anche su MITRE ATT&CK, una base di conoscenza globale liberamente accessibile delle tattiche e delle tecniche di minaccia informatica degli hacker.
Gli algoritmi di analisi
XDR e di machine learning (apprendimento automatico) possono anche svolgere le proprie indagini, confrontando i dati in tempo reale con i dati storici e le linee di base stabilite per identificare attività sospette, attività aberranti dell'utente finale e qualsiasi cosa che possa indicare un incidente o una minaccia alla cybersecurity Possono anche separare i "segnali" o le minacce legittime dal "rumore" dei falsi positivi, in modo che gli analisti della sicurezza possano concentrarsi sugli incidenti che contano. Forse la cosa più importante, è che gli algoritmi di machine learning apprendono continuamente dai dati, per ottenere un migliore rilevamento delle minacce nel tempo.
XDR riassume i dati importanti e i risultati analitici in una console di gestione centrale che funge anche da interfaccia utente (UI) della soluzione. Dalla console, i membri del team di sicurezza possono ottenere una visibilità completa su ogni problema legato alla sicurezza, a livello aziendale, e avviare indagini, risposte alle minacce e bonifiche ovunque nell'infrastruttura estesa.
Funzionalità di rilevamento e risposta automatizzate
L'automazione è ciò che rende la risposta rapida in XDR. Basato su regole predefinite dai team di sicurezza —o 'apprese' nel tempo da algoritmi di machine learning (apprendimento automatico) —XDR consente risposte automatizzate che aiutano a velocizzare il rilevamento e la risoluzione delle minacce, liberando gli analisti della sicurezza per concentrarsi su attività più importanti. XDR può automatizzare attività come:
- Triage e assegnazione della priorità degli allarmi in base alla severità;
- Disconnessione o spegnimento dei dispositivi interessati, disconnessione degli utenti dalla rete, arresto dei processi di sistema/applicazione/dispositivo e messa non in linea delle fonti di dati;
- Attivazion e di software antivirus o anti malware per eseguire la scansione di altri endpoint sulla rete alla ricerca della stessa minaccia;
- Attivare i playbook di risposta agli incidenti SOAR (flussi di lavoro automatizzati che orchestrano più prodotti di sicurezza in risposta a uno specifico incidente di sicurezza).
XDR può anche automatizzare le attività di investigazione e bonifica delle minacce (vedere la sezione successiva). Tutta questa automazione aiuta i team di sicurezza a rispondere agli incidenti più velocemente e impedire o ridurre al minimo i danni che causano.
Analisi delle minacce e rimedio
Una volta che una minaccia alla sicurezza è stata isolata, la piattaforma XDR fornisce funzionalità che gli analisti della sicurezza possono utilizzare per indagare ulteriormente sulla minaccia. Ad esempio, l'analisi forense aiuta gli analisti della sicurezza a individuare con precisione la causa principale di una minaccia, identificare i vari file interessati e identificare la vulnerabilità o le vulnerabilità sfruttate dagli aggressori che entrano e si spostano nella rete, ottengono l'accesso alle credenziali di autenticazione o svolgono altre attività dannose.
Avendo queste informazioni a disposizione, gli analisti possono utilizzare strumenti di correzione per eliminare la minaccia. La correzione potrebbe comportare:
- Distruzione dei file dannosi e cancellazione da endpoint, server e dispositivi rete;
- Ripristino delle configurazioni danneggiate di dispositivi e applicazioni, delle impostazioni di registro, dei dati e dei file delle applicazioni;
- Applicazione di aggiornamenti o patch per eliminare le vulnerabilità che hanno portato all'incidente;
- Aggiornamento delle regole di rilevamento per evitare che si ripetano.
Supporto per la ricerca delle minacce
La ricerca delle minacce (detta anche ricerca delle minacce informatiche) è un esercizio di sicurezza proattivo in cui un analista della sicurezza cerca nella rete minacce ancora sconosciute o minacce note che devono essere ancora rilevate o corrette dagli strumenti di cybersecurity (sicurezza informatica) automatizzati dell'organizzazione.
Ancora, minacce avanzate possono nascondersi per mesi prima di essere rilevate, preparandosi per un attacco o una violazione su larga scala. Una ricerca efficace e tempestiva delle minacce può ridurre il tempo necessario per rilevare e correggere queste minacce e limitare o prevenire i danni causati dall'attacco.
I ricercatori di minacce utilizzano una varietà di tattiche e tecniche, la maggior parte delle quali si basa sulle stesse origini di dati, analisi e funzionalità di automazione utilizzate da XDR per il rilevamento, la risposta e la correzione delle minacce. Ad esempio, un analista alla ricerca di minacce potrebbe voler cercare uno specifico file, una modifica alla configurazione o un'altra risorsa sulla base dell'analisi forense o dei dati MITRE ATT&CK che descrivono i metodi di uno specifico aggressore.
Per supportare questi sforzi, XDR rende disponibili queste funzionalità di analisi e automazione agli analisti della sicurezza tramite mezzi basati sull'interfaccia utente o di programmazione, in modo da poter eseguire ricerche ad hoc, query di dati, correlazioni con l'intelligence sulle minacce e altre indagini. Alcune soluzioni XDR includono strumenti creati appositamente per la caccia alle minacce come semplici linguaggi di scripting (per automatizzare attività comuni) e persino strumenti di interrogazione in linguaggio naturale.
La suite IBM Security® QRadar® XDR fornisce un unico flusso di lavoro unificato tra i tuoi strumenti per rilevare ed eliminare le minacce più rapidamente.
IBM Security QRadar SOAR è progettato per aiutare il team della sicurezza a rispondere alle minacce informatiche con fiducia, ad automatizzare con l'intelligence e a collaborare con coerenza.
Aiuta il tuo team a migliorare il piano di risposta agli incidenti e a ridurre al minimo l'impatto di una violazione preparando i team di risposta agli incidenti, i processi e i controlli.
Il report annuale Cost of a Data Breach, con ricerca del Ponemon Institute, offre insight ottenuti da 550 violazioni effettive.
Il SIEM (Security information and event management) offre il monitoraggio e l'analisi degli eventi in tempo reale, nonché il tracciamento e la registrazione dei dati di sicurezza a fini di conformità o di verifica.
SOAR (security orchestration, automation and response) è una soluzione software che consente ai team di sicurezza di integrare e coordinare strumenti separati in flussi di lavoro semplificati per la risposta alle minacce.