Nel tempo, i cyber attacchi si sono diversificati e articolati, sia per i tool online di attack as a service, sia con strumenti di intelligenza artificiale. Per risolvere il problema, specie per le PMI, si parla sempre più spesso dell’approccio XDR: se solo il 12% delle aziende dichiara di seguirlo già, ben il 77% ne prevede l’adozione nei prossimi 24 mesi (dati CRA). La sicurezza può essere affrontata con diversi approcci di scoperta di attacchi (Detect) e relativa reazione (Response): basandosi sugli Endpoint, avremo l’EDR; su un perimetro eXtended, avremo l’XDR; affidandoci a una gestione esterna l’MDR.
XDR sterilizza tutta la rete
L’EDR riduce il tempo di reazione degli attacchi sugli endpoint con risultati molto vicini al 100% di sterilizzazione da virus. Ma gli attacker non vivono di soli endpoint, avendo a disposizione un gran numero di sistemi di vario tipo. Estendere l’EDR all’infrastruttura porta all’XDR, extended detection and response.
Con XDR, oltre agli endpoint vengono controllati i firewall, l’infrastruttura cloud e tutto il resto.
Per abilitare l’XDR serve un’amplissima raccolta di dati (es.: syslog, SMPs, API) che vengono analizzati per identificare le tendenze e le minacce note.
Queste operazioni vengono svolte da un motore AI che attraverso l’analisi degli IoB (Indicators of Behaviour) trova correlazioni e attiva rimedi (blocco IP, quarantena, blocco API, interruzione dominio web) in tempo quasi reale, operazione impossibile per un team umano. In alcuni casi, l’uso di AI porta a definire la soluzione come Advanced XDR.
Grazie a dati e analisi, XDR può rispondere automaticamente alle minacce identificate, sia con azioni preventive, sia per mitigare un attacco in corso su un endpoint ormai compromesso.
I vantaggi di una gestione integrata
Com’è lecito attendersi, esistono vari approcci all’XDR. Gli approcci single-stack pagano il lock-in su un unico fornitore, spesso offrendo una ridotta copertura del perimetro. I sistemi ibridi o aperti, invece, sono indipendenti dal fornitore, completano le tecnologie esistenti e possono essere integrati con altri pezzi del puzzle (es.: SIEM e SOAR, più adatti a grandi aziende), raggiungendo i risultati migliori senza dover ricorrere a gestioni dati complesse come i data lake.
L’XDR è quindi la soluzione finale. O forse no: è già pronto un nuovo approccio.
MDR, dal Saas al servizio
Prevenzione, la risposta automatica quasi immediata e la ricerca di minacce note ma non ancora sfruttate sono i vantaggi di XDR, che offre anche alle piccole e medie imprese una visione strategica e integrata. In pratica si tratta di una piattaforma unica in SaaS.
Per quelle realtà che preferiscono affidare il servizio a un pool di esperti esterni all’azienda esiste la soluzione MDR, Managed Detect and Response.
MDR offre anche altri servizi ed è un campo in pieno sviluppo, che riduce ulteriormente l’attenzione operativa dell’azienda sullo specifico della sicurezza, demandandolo a esperti sempre aggiornati.
EDR, puntare sugli endpoint
L’EDR agisce sugli endpoint, categoria della quale fanno parte smartphone, anche smart watches, personal computers o tablet, server, stampanti, bancomat e dispositivi IoT. La prima azione di sicurezza è affidata agli antivirus, che cercano di intercettare il malware dalla sua firma (signature). L’efficacia di questa fase viene oggi amplificata da algoritmi di machine learning (ML), che portano l’efficacia complessiva intorno al 60%, anche se questa valutazione può variare molto da caso a caso.
Alla prima fase in genere fa seguito una seconda, specifica per l’individuazione di compromissioni attive valutate con appositi indici IoC (Indicators of Compromise). Una volta che il virus è entrato nel sistema bisogna minimizzare i danni. Questa fase prevede la raccolta di molti dati (forensi, metadati e altri) sui quali cercare dei comportamenti già noti che permettano di tracciare e fermare l’azione del virus.