L’evoluzione delle modalità di lavoro e degli strumenti informatici ha fatto in modo che, attualmente, il 70% di tutte le violazioni abbiano origine nell’endpoint. Per scongiurare la sottrazione di dati o il blocco dell’operatività diventa quindi essenziale per i team IT riuscire ad aumentare la capacità di analisi e di avviare azioni di rimedio da remoto. Le soluzioni per la protezione degli endpoint sono in rapida evoluzione ed è importante capire come si articolano le differenze funzionali, soprattutto quando le terminologie utilizzate variano da fornitore a fornitore.
Endpoint detection and response (EDR)
L’Endpoint detection and response (EDR) rappresenta un significativo passo in avanti rispetto alle tradizionali soluzioni antivirus concentrandosi, appunto, sulle attività di rilevamento e risposta. Spesso, infatti, i cyber criminali puntano a compromettere un desktop, un laptop, uno smartphone, un server o un altro endpoint per creare un punto d’appoggio all’interno della rete dell’organizzazione presa di mira da cui partire per spostarsi ad altri endpoint e sottrarre più informazioni possibili.
Il metodo per la sicurezza degli endpoint è stato per molto tempo esclusivamente di tipo reattivo, individuando le potenziali minacce alla sicurezza attraverso la corrispondenza con le firme (signature) e i modelli di attacco noti.
Per proteggersi da queste attività dannose, l’EDR pone una priorità sul monitoraggio continuo e sulla scoperta delle minacce, prevedendo funzionalità di risposta automatica su ogni endpoint. L’EDR adotta, invece, un approccio predittivo focalizzandosi sull’identificazione di minacce persistenti avanzate e di malware sconosciuti, progettati per eludere le difese di sicurezza tradizionali. Per rilevare le minacce avanzate, la maggior parte delle soluzioni EDR sfrutta la potenza combinata dell’intelligence sulle minacce, del machine learning e dell’analisi avanzata dei file.
Le soluzioni EDR registrano e memorizzano query, comportamenti ed eventi di sicurezza, consentendo ai team di cybersecurity di rilevare e analizzare le attività sospette. In caso di violazione o rilevamento, l’EDR conterrà il malware isolandolo e ne comprenderà il comportamento facendo agire il file compromesso all’interno di un ambiente protetto (per esempio, una sandbox). L’EDR contribuirà inoltre a condurre un’analisi approfondita delle cause e a velocizzare la risposta agli incidenti.
Tuttavia, solitamente, per rilevare l’attività nociva sul dispositivo un sistema EDR richiede l’installazione di un agente specifico. Inoltre, non è in grado di fornire indicazioni su come gli aggressori potrebbero combinare endpoint infetti con altre attività dannose nel cloud, identità utente compromesse o azioni in altre parti della rete, per lanciare un attacco organizzato in più fasi.
Inoltre, una configurazione errata di un ambiente EDR può generare un gran numero di avvisi trasformando così l’attività di sicurezza informatica in una semplice gestione degli allarmi, senza fornire la capacità di interagire in modo efficace con tali segnalazioni.
Extended detection and response (XDR): un passo in avanti
Il panorama delle minacce informatiche diventa sempre più sofisticato e gli attacchi oggi sfruttano molteplici vettori in ambienti aziendali complessi.
Il software EDR monitora e registra l’attività sugli host, ma manca di un contesto più ampio che vada oltre gli endpoint.
L’extended detection and response (XDR) riunisce la telemetria di sicurezza delle piattaforme di sicurezza degli endpoint, dei firewall, dei gateway web, dei carichi di lavoro del cloud, dei sistemi di identità e altro ancora fornendo un livello più ampio di visibilità che si dimostra più adatto alla crescente complessità dei moderni ambienti IT.
Di conseguenza, espande il valore dell’EDR fornendo una visibilità più ampia e integrata, capacità di analisi delle anomalie di comportamento e funzionalità di risposta automatizzata che si estendono alle reti, ai carichi di lavoro “in-the-cloud” e oltre.
Le piattaforme XDR mirano ad abbattere i tradizionali silos di soluzioni di sicurezza, in modo che i team di sicurezza possano collegare più efficacemente i diversi eventi e contestualizzarli per scoprire le minacce più sofisticate e orchestrare azioni di risposta automatizzate.
Questi sistemi necessitano però di personale altamente qualificato (oggi merce rara), che deve avere le competenze per valutare correttamente i diversi aspetti di una minaccia: dal suo contenuto al contesto, alle informazioni di identità, alla rete fino alla posta elettronica.
Centralizzare i dati sulla sicurezza migliora la capacità di rilevamento
Una capacità fondamentale delle soluzioni XDR consiste nel raccogliere e normalizzare i dati sulla sicurezza provenienti dall’intero stack tecnologico dell’infrastruttura aziendale. Centralizzando eventi, avvisi, metriche, analisi del comportamento degli utenti e altro ancora all’interno di un’unica piattaforma, l’XDR fornisce le basi per applicare un’analisi migliore.
La correlazione dei set di dati normalizzati consente anche di identificare minacce o attività interne sospette che verrebbero probabilmente ignorate analizzando gli eventi in modo isolato.
Per esempio, una compromissione dell’endpoint o un tentativo di intrusione nella rete, che di per sé non desterebbero sospetti, potrebbero essere messi in relazione con una modalità di accesso anomala a un database segnalata da un broker di sicurezza in cloud; il collegamento tra i due eventi potrebbe indicare una campagna di attacco in corso piuttosto che due anomalie isolate. Le soluzioni XDR sono progettate per gestire queste indagini in modo automatico, invece di sovraccaricare i team operativi di sicurezza facendogli correlare manualmente gli eventi.
Unificando la risposta al rilevamento tramite un’unica piattaforma i team di sicurezza acquisiscono, così, maggiori capacità di individuare le minacce, isolare sistemi e utenti, limitare l’accesso alla rete, mettere offline gli endpoint infetti o rispondere in altro modo attraverso l’intero ambiente aziendale.
Accelerazione delle indagini e aumento della produttività
L’efficienza del flusso di lavoro introdotta da XDR è pensata specificamente per aiutare i team di sicurezza che dispongono di risorse limitate a essere più produttivi. L’integrazione tra i diversi livelli di sicurezza IT fornisce la storia completa delle minacce anziché prospettive parziali e l’analisi automatizzata delle cause profonde riduce, come già sottolineato, l’onere della gestione manuale degli avvisi.
Queste funzionalità consentono al personale di stabilire meglio le priorità delle indagini in base al rischio effettivo. Gli analisti possono dedicare meno tempo a ricomporre le “timeline” delle attività dei sistemi e degli utenti attraverso i diversi prodotti di sicurezza, mentre il machine learning supervisionato raggruppa gli avvisi correlati. In alcuni casi di utilizzo di XDR il numero di avvisi che richiedono una revisione umana può essere ridotto fino al 90%.
La sostituzione delle attuali soluzioni di rilevamento e risposta con soluzioni XDR integrate richiede però una certa attenzione. Gli approcci di tipo “rip-and-replace” rischiano di provocare inconvenienti. Un rollout graduale che si concentri prima sui punti critici più importanti, come la riduzione dei falsi positivi dei SIEM e dei firewall attuali o l’automazione delle routine di contenimento, può mostrare il valore dell’XDR.
L’erogazione di XDR in cloud riduce inoltre le barriere alla migrazione, poiché le modifiche all’infrastruttura sono minime.
Man mano che i team di rilevamento, “incident response”, “threat hunting” e “IT forensics” si abituano a una visibilità più ampia e all’aumento dell’efficienza del flusso di lavoro, si crea lo slancio per espandere la portata dell’XDR. Anche se i risultati non si materializzeranno da un giorno all’altro, il guadagno a lungo termine che si ottiene andando oltre il rilevamento e la risposta limitati a un singolo vettore è sostanziale.
Rilevamento e risposta gestiti (MDR)
Il panorama delle minacce si è notevolmente ampliato, con un maggior numero di controlli di sicurezza che generano migliaia di avvisi e quantità enormi di dati. Oltre all’analisi di questi dati, i team di sicurezza devono incorporare le informazioni sugli asset e sui rischi provenienti da tutta l’azienda per definire le priorità di risposta in base al potenziale impatto aziendale.
Molti team di sicurezza elaborano e correlano i dati manualmente, rendendo difficile la gestione del volume e della complessità.
Per questa ragione, molte organizzazioni si rivolgono a fornitori di servizi di rilevamento e risposta gestiti (MDR) per trasferire le attività operative in modo che le risorse interne possano concentrarsi su iniziative più strategiche. In questo modo i responsabili della sicurezza possono ottimizzare i loro programmi.
Casi d’uso comuni per i servizi MDR
L’MDR comprende un’ampia gamma di funzionalità di rilevamento e risposta personalizzabili che le organizzazioni possono applicare in base alle proprie esigenze e risorse. Anche se i fornitori possono differire, i servizi principali si concentrano spesso sul monitoraggio, l’identificazione e l’investigazione degli avvisi di sicurezza.
Alcune organizzazioni scelgono di esternalizzare completamente le operazioni di sicurezza, affidando al partner MDR l’intero stack tecnologico, i processi e le competenze. Altre utilizzano l’MDR come estensione delle operazioni di sicurezza interne, aggiungendo ulteriore visibilità o esperti.
L’MDR può avere un impatto positivo in relazione agli aspetti di tipo operativo perché consente di ridurre i costi legati all’infrastruttura, al personale e alla gestione. Inoltre, risponde al problema della gestione di un eccesso di allarmi e dei falsi positivi e aumenta l’efficacia poiché blocca gli attacchi più rapidamente e riduce i rischi, migliora il rilevamento e consente la ricerca proattiva delle minacce, rafforzando i controlli per prevenire attacchi futuri.
Scegliere il fornitore idoneo
Per affrontare il volume e la sofisticazione delle minacce moderne i principali fornitori di MDR stanno sfruttando tecnologie come l’intelligenza artificiale e gli analytics per far evolvere le loro offerte.
Nella scelta di un servizio MDR gestito alcune delle funzionalità che andrebbero ricercate sono:
- capacità di monitoraggio continuo con visibilità sulle attività sospette;
- raccomandazioni di rilevamento e risposta basate sull’intelligenza artificiale;
- disponibilità di rapporti di compliance;
- supporto diretto da parte di consulenti per la sicurezza;
- valutazioni delle vulnerabilità e indicazioni per la mitigazione dei rischi.
Nella scelta di un fornitore di MDR le organizzazioni dovrebbero anche valutare la telemetria, l’intelligence sulle minacce, la capacità di individuare le minacce e di operare in ambienti cloud e ibridi.
MSSP contro MDR
In passato i servizi di sicurezza gestiti erano riconducibili al controllo delle modifiche, agli avvisi di sicurezza e alle escalation; con l’MDR la loro portata si è ampliata per includere anche le componenti di rilevamento e risposta.
La componente di “detection” gestita consiste nella gestione della ricerca delle minacce e utilizza gli strumenti di analytics e di threat intelligence per individuare i comportamenti nocivi per conto del cliente prima che siano disponibili le signature per identificarli. La parte di “response” gestita consente al service provider di intraprendere un’azione adeguata, attraverso fasi pre-approvate, per rispondere a un’intrusione e difendere il proprio cliente da un attacco. Queste fasi possono essere personalizzate in base al tipo di attacco, all’asset, all’utente e così via e l’MDR si avvale di dispositivi di rilevamento di rete, come Deep Discovery, e di strumenti di sicurezza per gli endpoint.
I servizi MDR consentono alle organizzazioni di aggiungere alla propria struttura di sicurezza funzionalità di rilevamento e risposta disponibili 24/7.
Tra i fattori che stanno attualmente determinando la crescita dei prodotti MDR vi sono i cyberattacchi, le lacune nei servizi esistenti e la mancanza di competenze qualificate e a costi accessibili. In breve, le organizzazioni sono interessate agli MDR per migliorare la loro capacità di rilevare e rispondere alle minacce e ciò rende gli MDR un tassello di una strategia di sicurezza più ampia.
Tradizionalmente, la differenza tra i fornitori di servizi di sicurezza gestiti (MSSP) e di servizi MDR è che il primo offre monitoraggio e gestione della sicurezza in outsourcing, che include firewall e IPS. Gli MSSP si concentrano sulla tecnologia e sulla sua gestione, mentre gli MDR forniscono un servizio specifico che soddisfa le esigenze delle organizzazioni che non dispongono di risorse e competenze interne in materia di sicurezza. Va osservato che negli ultimi anni gli MSSP hanno spesso fallito nell’adattare i servizi alle reali esigenze dei clienti, enfatizzando eccessivamente gli aspetti del monitoraggio a scapito di una risposta personalizzata. La sfida per le aziende clienti non riguarda tanto la possibilità di ricevere avvisi di sicurezza quanto, piuttosto, di rispondere alle minacce che generano tali avvisi. La “risposta” è proprio l’elemento che caratterizza i vantaggi dei servizi MDR e i clienti cercano servizi di rilevamento delle minacce e di risposta sempre più completi.
Scegliere la soluzione più adatta per la vostra organizzazione
