Autore: Redazione SecurityOpenLab
Con la mancanza a livello globale di esperti di sicurezza informatica, la tecnologia Extended Detection and Response (XDR) offre una protezione multilivello completa per un’infrastruttura IT in espansione e costante cambiamento all’interno di un panorama delle minacce IT in continua evoluzione. Oggi i criminali informatici adottano sempre più un approccio multivettoriale, utilizzando più punti di accesso all'infrastruttura, movimenti laterali attraverso la rete, una varietà di tattiche e tecniche e l'ingegneria sociale, ampliando di conseguenza la superficie di attacco e rendendo più difficile l'indagine e la risposta.
Grazie all’XDR è possibile raccogliere e correlare i dati provenienti da più livelli di sicurezza come endpoint, app, e-mail, cloud e reti, riducendo al minimo il tempo medio di rilevamento e risposta. Un aspetto fondamentale per combattere le minacce complesse e gli attacchi mirati, dove le azioni rapide intraprese dagli esperti di sicurezza riducono le possibilità degli aggressori di raggiungere l’obiettivo con la conseguenza di danni finanziari o reputazionali per l'organizzazione colpita. Migliori capacità di protezione, rilevamento e reazione, maggiore produttività del personale di sicurezza, riduzione del total cost of ownership per i processi di rilevamento e reazione alle minacce sono i principali vantaggi della tecnologia XDR.
Le organizzazioni che decidono di implementare una piattaforma XDR dovrebbero sicuramente prestare attenzione ad alcune caratteristiche chiave come ad esempio l’indipendenza, cioè la possibilità di integrarsi con più tecnologie senza alcun vincolo. Una soluzione XDR, infatti, non dovrebbe richiedere la sostituzione di soluzioni SIEM (Security Information and Event Management) e tecnologie SOAR già installate, consentendo alle aziende di massimizzare il valore del proprio investimento. La correlazione e il rilevamento machine-based sono fondamentali per semplificare l'analisi tempestiva di grandi insiemi di dati e ridurre il numero di falsi positivi e, grazie a modelli di dati predefiniti, non è necessario programmare o creare delle regole per integrare la threat intelligence e automatizzare rilevamento e reazione. Quando la tecnologia XDR e la convalida della sicurezza lavorano insieme, i team di sicurezza hanno una maggiore consapevolezza delle prestazioni del loro stack di sicurezza, delle vulnerabilità e delle azioni da intraprendere per risolvere le lacune delle prestazioni.
Considerato l’attuale livello di rischio e pericolosità degli attacchi informatici, l’impostazione di una difesa efficace dipende da molti fattori, come ad esempio la dimensione dell’azienda, il settore in cui opera, l’infrastruttura utilizzata e le risorse a disposizione. Ovviamente non c’è una sola risposta possibile a questa domanda, possiamo però dire che una delle soluzioni più versatili del nostro portafoglio è Optimum Security Framework, che contiene Kaspersky EDR Optimum con componente MDR; Automated Security Awareness Platform (ASAP) per la formazione dei dipendenti e la riduzione del rischio derivante dal fattore umano; Threat Intelligence Portal per l’analisi degli attacchi più evoluti e la qualificazione degli incidenti.
Queste le aree in cui, secondo la nostra esperienza, è necessario investire per migliorare la propria postura nei confronti dei rischi esterni. È anche necessario provvedere a un’accurata analisi della superficie esposta per identificare le aree più vulnerabili della propria infrastruttura. A tal proposito, Kaspersky propone il servizio di Digital Footprint Intelligence, che ha esattamente questo scopo: attraverso un monitoraggio degli asset, delle loro vulnerabilità e dei pericoli provenienti dal Dark Web e integrando questo servizio con i propri processi di analisi dei rischi è possibile ottenere una miglior postura così da anticipare potenziali attacchi informatici.