eXtended Detection and Response promette di migliorare l'efficacia della sicurezza e la produttività dei team IT e di security. Ecco caratteristiche e vantaggi offerti dalle soluzioni al momento disponibili e i consigli degli analisti per una scelta consapevole.
Autore: Redazione SecurityOpenLab
Il ritmo incalzante a cui si evolvono le difese informatiche può spiazzare: aziende che nel 2020 hanno investito in una soluzione EDR ora si sentono dire che è necessario passare alle piattaforme XDR. Non è una trovata di marketing: effettivamente una soluzione di Endpoint Detection and Response non è più sufficiente, per svariati motivi. In estrema sintesi si potrebbe dire che bisogna tenere il passo degli attaccanti, che evolvono i propri sistemi in continuazione, con una versatilità e un’abilità tecnica impressionante.
Per andare poco più nel dettaglio basta citare pochi semplici numeri: nel 2022 gli attacchi informatici sono aumentati del 38% rispetto all'anno precedente, con una media di 1.168 attacchi settimanali per ogni organizzazione (Security Report 2023 di Check Point Research). Le richieste medie di riscatto dei ransomware sono decollate fino ad assestarsi a 3,7 milioni di dollari (fonte KELA). Stringendo il focus sull’Italia, Clusit calcola che nel periodo in questione gli attacchi contro il Belpaese hanno rappresentato il 7,6% del totale.
A far soffiare il vento degli incidenti cyber sono stati principalmente tre eventi: la guerra Russia-Ucraina, il lavoro ibrido e il cloud. Gli ultimi due sono l’uno la conseguenza dell’altro: la crisi pandemica ha dissolto i perimetri aziendali e ha portato i dipendenti a lavorare anche da remoto, rendendo necessaria quella protezione degli endpoint a cui erano (e sono) destinate le soluzioni EDR. Ma la questione non si chiude qui.
Per supportare i dipendenti, per gestire la mole di dati in continuo aumento, per far fronte alle nuove necessità normative, operative e finanziarie è stato necessario passare al cloud. Aziende, dipendenti a utenti fanno un uso sempre più massivo di applicazioni SaaS, IaaS e PaaS.
La superficie aziendale è diventata talmente ampia, dissolta e complessa da ridurre la visibilità e il controllo che i team IT e di security hanno sui propri asset. Parallelamente, i cyber criminali a cui non sfuggono le macro-tendenze, hanno spostato gli attacchi in cloud, intravedendo proprio su questa superficie enormi opportunità di successo. È questo il motivo per il quale nel 2022 il numero di attacchi cloud-based registrati in ogni organizzazione è cresciuto a dismisura (+48% rispetto all’anno precedente).
È evidente che in questo paradigma l’EDR non basta più. È fondamentale per proteggere i dispositivi che operano al di fuori della rete aziendale, ma bisogna anche prevenire e correggere le configurazioni errate, proteggere le applicazioni cloud in uso, mettere al sicuro il ciclo di DevOps affinché non introduca nuove vulnerabilità. Inoltre, bisogna controllare il traffico di rete per individuare gli attacchi fileless o che usano strumenti legittimi per portare avanti gli attacchi cyber. Ed è mandatorio proteggere le identità, perché spesso il primo anello della catena di attacco è l’uso di credenziali rubate, ma valide, per entrare in rete.
Quanto alla guerra ibrida, è uno stimolo in più sia per gli avversari politicamente motivati che per i criminali informatici opportunisti. Il conflitto ha agito da moltiplicatore sia per il numero sia per la gravità degli attacchi, soprattutto ai danni di aziende e istituzioni dei paesi che fanno parte dell’Alleanza Atlantica.
Per svolgere tutte le funzioni di difesa necessarie (più quelle che non abbiamo citato) servirebbero N prodotti differenti. L’esperienza dei tre anni appena trascorsi tuttavia insegna che usare una pletora di strumenti diversi – benché possano essere i migliori nei rispettivi campi di azione – aumenta la complessità. Complessità che si traduce in minore visibilità degli asset e in un maggiore stress del personale IT e di security, che viene sommerso da migliaia di allarmi generati da piattaforme differenti. Il risultato è che la protezione effettiva si abbassa anziché alzarsi, si impiega più tempo a identificare un attacco e a bloccare gli attaccanti, quindi i danni arrecati aumentano.
Una parte della soluzione viene dall’automazione: l’Intelligenza Artificiale e le sue applicazioni consentono, nelle soluzioni più avanzate, di filtrare gli allarmi e di sottoporre agli analisti solo quelli importanti, su cui è richiesta una indagine approfondita e giustificata. Una soluzione che abbassa il livello di stress e che dovrebbe accelerare l’analisi dei dati, che per la maggior parte avviene a velocità macchina. Resta la questione delle piattaforme multiple.
La soluzione che al momento si prospetta come la più interessante per ridurre il numero di piattaforme in uso è XDR, acronimo di eXtended Detection and Response. Gartner definisce gli XDR come una “piattaforma che integra, correla e contestualizza dati e avvisi provenienti da più soluzioni di prevenzione, rilevamento e risposta. […] Mira a ridurre la proliferazione dei prodotti, l’alert fatigue, le sfide di integrazione e le spese operative, e si rivolge in particolare ai team delle security operations che hanno difficoltà a gestire un portafoglio di soluzioni best-of-breed o ad ottenere valore da una soluzione SIEM o SOAR”.
Fra i componenti di un XDR devono esserci soluzioni di protezione degli endpoint (EDR), piattaforme di protezione degli endpoint (EPP), sistemi di rilevamento e prevenzione delle intrusioni (IDPS), security services edge (SSE), protezione dei carichi di lavoro cloud, soluzioni NDR (Network Detection & Response) e altro. Non devono poi mancare uno storage centralizzato dei dati per l'archiviazione e l'elaborazione della telemetria e policy unificate per tutti i componenti.
Quello che ci si aspetta da una soluzione XDR è una piattaforma unica in cui convergono tutte le soluzioni di sicurezza in uso in azienda, che collaborano fra loro grazie a Intelligenza Artificiale e Machine Learning, che non solo automatizzano l’analisi dei dati, ma aggregano gli eventi e li correlano unendo le informazioni provenienti dalle diverse soluzioni di security attive. Così facendo la visibilità non è ostacolata dalla compartimentazione delle soluzioni di sicurezza, le operazioni di rilevamento di minacce e potenziali incidenti accelerano ed è possibile formulare una risposta automatizzata che chiama in causa tutte le misure necessarie. Gartner stima che entro la fine del 2027 le soluzioni XDR saranno utilizzate da circa il 40% delle organizzazioni con l’obiettivo di ridurre il numero di fornitori di sicurezza in uso.
Gartner riconosce che “oggi gli XDR sono ideali per le organizzazioni meno mature che non hanno le risorse per costruire una matrice complessa di soluzioni con una sovrapposizione SIEM/SOAR, ma sono alla ricerca di soluzioni in grado di fornire un valore più immediato con un sovraccarico operativo inferiore”. In questi casi XDR ha effettivamente la capacità di migliorare l'efficacia della sicurezza e la produttività dei team IT e di security.
Gli analisti, tuttavia, sottolineano che al momento gli XDR non rimpiazzano del tutto SIEM e SOAR per le esigenze delle aziende più grandi. “A differenza delle soluzioni SIEM, gli XDR soddisfano solo i casi d'uso di prevenzione, rilevamento e risposta degli incidenti informatici. Non mirano a soddisfare le esigenze di conformità o l'ampia gamma di casi d'uso operativi supportati da SIEM. Inoltre, sebbene gli XDR coprano il concetto di data lake, non sono progettati per essere una struttura primaria di storage di log a lungo termine”.
È evidente che siamo quindi di fronte a “una tecnologia emergente […] ancora nelle sue fasi formative”, che presagisce a sviluppi futuri. Fra le possibili evoluzioni Gartner prevede che “i fornitori SIEM creeranno una propria versione XDR per soddisfare anche le necessità di rilevamento e risposta alle minacce informatiche, con costi e complessità inferiori poiché i SIEM dispongono già di funzionalità avanzate di analisi e orchestrazione/automazione”.
Resta un ultimo nodo da sciogliere, ossia la filosofia alla base della piattaforma XDR. Nell’attuale fase evolutiva i vendor di cybersecurity si stanno muovendo su due direttive parallele ben distinte: l’OpenXDR e il NativeXDR. Un XDR proprietario conta al suo interno solo soluzioni di security prodotte dallo stesso vendor. Fra i vendor che hanno partecipato a questo speciale, WatchGuard è un chiaro esempio di NativeXDR: integra nel suo XDR le soluzioni proprietarie di network security, endpoint security e la propria infrastruttura di gestione e raccolta della telemetria.
Sempre fra i partecipanti, l’esempio che meglio rende l’idea di Open XDR è SentinelOne, che integra nel suo marketplace le soluzioni di oltre 50 partner con i quali ha sottoscritto accordi di collaborazione. Il cliente può far convogliare nella piattaforma XDR i dati dei partner di cui possiede le licenze d’uso, per valorizzare investimenti differenti abbattendo la complessità. Un approccio che diversi produttori stanno annunciando di abbracciare.
Gartner reputa questa distinzione effimera, ciò nonostante sottolinea che la definizione di OpenXDR non è del tutto impropria in quanto “gli XDR supportano e devono supportare un certo livello di apertura”, per esempio mediante API integrate in modo nativo. In questo, OpenXDR non si distanzia molto dal modello ben consolidato del mercato SOAR e, in misura minore, di quello SIEM. Gli analisti, tuttavia, reputano che oggi la scelta dell’XDR non dovrebbe essere fra NativeXDR e OpenXDR (fra chiuso o aperto), ma fra un XDR e quelli concorrenti, valutando la loro capacità di integrarsi al meglio e di lavorare in maniera più produttiva all’interno del proprio ambiente specifico. Il consiglio degli analisti è di procedere nella scelta appurando prima il livello di automazione e le possibilità di integrare soluzioni già attive, come SIEM/SOAR/EDR/EPP, poi che supporti il threat hunting, i framework come il MITRE ATT&CK e che consenta la conservazione dei dati per lunghi periodi.
Quello che è certo, secondo Gartner, è che XDR motiverà le acquisizioni da parte dei fornitori più grandi, che cercheranno di colmare le lacune nei propri portafogli per soddisfare i requisiti di XDR. Fra gli esempi più celebri ci sono CrowdStrike che ha acquisito Humio e SentinelOne che ha acquistato Scalyr. Il richiamo di una sicurezza più efficiente, che riduce l’alert fatigue e ottimizza le spese è molto forte, per questo Gartner prevede che l'XDR sarà una tendenza dirompente nei prossimi anni.