Le soluzioni per la sicurezza di rete e quelle di rilevamento e risposta per gli endpoint (EDR, dall’inglese Endpoint Detection and Response) rappresentano due pilastri fondamentali nella strategia di sicurezza informatica di oggi ma ciascuna, singolarmente, presenta alcuni limiti intrinseci legati a una visibilità limitata a specifiche aree dell’infrastruttura IT.
Le tecnologie di sicurezza di rete, tra cui i firewall e i sistemi per il rilevamento di intrusioni, sono infatti fondate su una concezione tradizionale del perimetro e si focalizzano sulla protezione dei punti di ingresso e uscita della rete, controllando il flusso di dati ai margini della stessa. Tuttavia, con l’affermazione delle tecnologie mobili e la diffusione del modello di lavoro ibrido, il confine della rete è diventato più dinamico e suscettibile a rischi, rendendo più complessa l’implementazione di misure di sicurezza efficaci. Questa evoluzione ha evidenziato i limiti di tali strumenti, che non riescono a fornire una visibilità completa degli endpoint.
Gli strumenti di EDR si rivelano essenziali per identificare e contrastare le minacce presenti sui dispositivi connessi alla rete ma, se utilizzati in modo isolato, non sono in grado di fornire una panoramica completa sulle minacce emergenti negli ambienti di rete sempre più diversificati che includono anche il cloud.
In assenza di un approccio unificato le aziende si trovano con una limitata la visibilità sull’intero ambiente, che impedisce di contestualizzare correttamente gli eventi di sicurezza e riduce l’efficacia nel rilevamento e nella risposta.
Il valore dell’XDR
Le soluzioni XDR (eXtended Detection and Response) estendono le capacità di rilevamento e risposta alle minacce su più domini di sicurezza che includono endpoint, reti, cloud e identità fornendo, nel contempo, una visione più semplice e unificata tramite una sola interfaccia. La capacità dell’XDR di raccogliere, aggregare e correlare automaticamente i dati provenienti da più prodotti di sicurezza consente di migliorare il rilevamento delle minacce e fornire funzioni di risposta agli incidenti. Utilizzando l’intelligenza artificiale e il machine learning, l’XDR esegue un’analisi automatica per integrare i dati di sicurezza all’interno di un sistema di sicurezza centralizzato per fornire una visione unificata degli incidenti che consenta azioni correttive più rapide. L’obiettivo principale di una soluzione XDR è, dunque, quello di aumentare il livello di accuratezza del rilevamento e di migliorare l’efficienza e la produttività delle attività di sicurezza.
È bene sottolineare che XDR non si limita a rilevare possibili attacchi sulla base delle signature, ma è in grado di monitorare i singoli sistemi IT per identificare eventuali anomalie rispetto al normale comportamento del sistema. Mediante l’uso dell’AI è possibile rilevare efficacemente attacchi fileless, attacchi rootkit o minacce persistenti avanzate (APT) attraverso l’analisi combinata delle azioni effettuate su un sistema IT che, prese singolarmente potrebbero sembrare innocue e legittime ma nel loro insieme possono indicare che c’è un attacco in corso. Inoltre, l’XDR permette di ridurre le vulnerabilità legate agli errori umani e i falsi positivi nonché di favorire azioni di difesa semi-automatizzata da attacchi avanzati. Uno dei vantaggi principali di XDR è anche quello riuscire a rilevare i cyberattacchi prima che raggiungano gli endpoint attraverso la ricerca di indicatori di compromissione (IoC). L’XDR è chiamato anche a garantire la protezione dell’identità e ad affrontare i rischi associati, grazie a funzionalità progettate per rilevare e rispondere a questi specifici attacchi.
La piattaforma di sicurezza unificata di WatchGuard e ThreatSync
Per fornire a organizzazioni e Managed Service Provider un’unica piattaforma per semplificare e rafforzare ogni aspetto dell’utilizzo, della fornitura e della gestione della sicurezza, WatchGuard ha sviluppato la Unified Security Platform. La piattaforma di sicurezza unificata di WatchGuard rappresenta un’evoluzione nel campo della sicurezza informatica, che supera i confini di un insieme tecnologico, un programma per i partner e un sistema di gestione. Questa piattaforma incarna, infatti, l’idea che le soluzioni di sicurezza debbano essere perfettamente integrate con le metodologie basate sul modello as-a-service.
Un tassello importante incluso nell’architettura Unified Security Platform di WatchGuard è ThreatSync, la soluzione XDR completa e di semplice utilizzo che unifica i rilevamenti di più prodotti e accelera la risposta alle minacce attraverso un’unica interfaccia di controllo.
La soluzione sfrutta le funzionalità WatchGuard di sicurezza della rete ed EDR per fornire avvisi incrociati, che sono raccolti e trasformati in informazioni fruibili in tempo reale per una gestione della sicurezza end-to-end. ThreatSync permette anche di aiutare le aziende a identificare le aree di miglioramento e affrontare in modo proattivo le potenziali vulnerabilità.
ThreatSync si distingue per le seguenti caratteristiche:
- Rilevamento delle minacce multipiattaforma. ThreatSync fornisce ampie funzionalità di rilevamento utilizzando gli indicatori di compromissione (IoC) provenienti da tutti i prodotti di sicurezza WatchGuard e mettendo tali indicatori in relazione tra loro. Tale correlazione e tale contesto multi-dominio consentono alla soluzione di rilevare e classificare le attività potenzialmente dannose relative a specifici ambienti, utenti e dispositivi per ridurre il tempo medio di risposta, migliorare l’accuratezza e, infine, permettere una più rapida risoluzione dei problemi di sicurezza.
- Orchestrazione della sicurezza unificata e risposta alle minacce. Fornendo agli amministratori della sicurezza e dell’IT una visione completa e integrata della superficie di attacco, ThreatSync consente di eseguire facilmente analisi complesse e predisporre una risposta efficace e rapida. ThreatSync consente di lavorare in modo più efficiente con una classificazione “smart” degli avvisi, policy di correzione automatizzate e opzioni per l’intervento manuale se necessario. Questo livello di orchestrazione della risposta alle minacce aumenta sia la portata sia la precisione con cui i team di sicurezza rispondono ai problemi.
- Semplicità di implementazione e gestione. Grazie a funzionalità di gestione e automazione intuitive e basate su cloud, WatchGuard ThreatSync facilita l’adozione dell’approccio XDR, specialmente in quei contesti dove il tempo e le competenze scarseggiano. Fornendo funzionalità XDR all’architettura Unified Security Platform di WatchGuard, ThreatSync integra l’intelligence tra i vari prodotti per ridurre i costi e gli oneri di gestione legati all’implementazione di più soluzioni specifiche per il rilevamento e la risposta alle minacce.