Yossi Naar, Chief Visionary Officer e co-fondatore di Cybereason, ci illustra le quattro direttrici utili per valutare e scegliere la cybersecurity XDR.
Trovarsi davanti a una minaccia, avendo adottato una strategia di prevenzione per il rilevamento precoce, consente alle aziende di bloccare attacchi dirompenti prima che causino danni. Impedire che gli attacchi vadano a buon fine non è solo possibile, ma è anche molto meno costoso del dover rimediare: per farlo, hai solo bisogno dei giusti tool.
Per stare al passo delle odierne minacce avanzate, le aziende adottano sempre più le tecnologie Extended Detection and Response (XDR) basate su intelligenza artificiale (AI) e Machine Learning (ML), che consentono loro non solo di automatizzare il rilevamento e il rimedio ai cyber attacchi su larga scala, ma anche di rilevare un ransomware nelle primissime fasi dell’attacco. Che cos’è quindi l’XDR?
L’XDR è un approccio proattivo alla sicurezza che analizza la telemetria trasversalmente a più livelli di sicurezza (e-mail, server, cloud, endpoint, rete e identità) e poi correla tali dati per generare un unico assessment di sicurezza che considera l’intero ecosistema.
Automatizzando le correlazioni degli eventi trasversalmente a più livelli di sicurezza, l’XDR offre una panoramica del contesto, anziché una visuale a silos su un unico elemento dell’avanzamento dell’attacco. Nel farlo, l’XDR riunisce l’intelligenza dagli asset più disparati e rende lo stack di sicurezza più semplice per i team di sicurezza, per una maggiore efficacia ed efficienza.
Perché implementare l’XDR oggi
Adottare un approccio proattivo alla sicurezza, difendersi dalle minacce “mai viste prima” e interromperle per tempo nella sequenza di attacco è fondamentale per individuare e rispondere più rapidamente agli attacchi stessi. Le soluzioni XDR garantiscono le feature necessarie per farlo:
espandono le capacità di Endpoint Detection and Response (EDR), ma vanno ben oltre l’endpoint stesso, al fine di garantire visibilità nel cloud, trasversalmente alla rete, alle applicazioni, alle identità utenti e molto altro. L’XDR non offre solamente tutta una gamma di alert indipendenti e relativi a piccoli snapshot di un’operazione malevola in un determinato momento, ma fornisce anche una panoramica dell’intera catena di attacco trasversalmente a tutti gli asset colpiti, così da non perdere tempo prezioso in un triage senza fine o nei cicli investigativi, una buona parte dei quali si dimostra sempre essere un falso positivo.
Rilevamento di intere operazioni malevole
Hai un’ampia visibilità all’interno della tua rete e ne sei certo perché ricevi tonnellate di alert di sicurezza? Fantastico, ma nella pratica è peggio che non averne nemmeno uno se ti mancano il contesto e le correlazioni necessarie a comprendere realmente lo scopo dell’attacco.
Una soluzione XDR dà senso al flusso di alert non correlati e fornice contesto e sostanza dalle fonti aggiuntive di telemetria associate ai rilevamenti, automatizzando l’analisi della ‘root cause’ per generare una sequenza chiara e tracciare il percorso della minaccia. Ciò consente agli analisti di osservare l’interezza dell’operazione malevola, o MalOp, e di trasformare tutti i “dati degli alert” in intelligenza utilizzabile.
Avere piena visibilità dell’intera MalOp consente alle operazioni di sicurezza di passare da un atteggiamento reattivo alert-centrico a un approccio proattivo operazione-centrico, che anticipa e blocca automaticamente la probabile mossa successiva di un attaccante. Avendo a disposizione capacità di risposta predittive, una soluzione XDR riduce Mean Time to Detect (MTTD) e Mean Time to Respond (MTTR), riducendo anche il tempo di permanenza degli attaccanti da mesi a minuti.
XDR: una soluzione di sicurezza unificata
Una soluzione XDR basata su AI consente alle aziende di accogliere un approccio operation-centric alla sicurezza, che fornisce la visibilità necessaria ad avere fiducia nella propria attitudine di Cybersecurity trasversale a tutti gli asset della rete e le risposte automatiche necessarie a bloccare l’avanzamento dell’attacco nelle sue primissime fasi.
Quattro buoni motivi
Massimizzare le integrazioni trasversalmente allo stack di Cybersecurity: con XDR si risparmiano tempo e impegno, poiché fornisce automaticamente l’intelligence contestualizzata dalla telemetria diffusa nell’intera Cybersecurity stack senza che gli analisti facciano tutto il “lavoro sporco” necessario al triage di ogni alert generato. Al contrario, sono in grado di capire i primissimi segnali di compromissione e porre fine alle operazioni malevole più rapidamente all’interno di integrazioni native con e-mail, suite di produzione, gestione delle identità e degli accessi e diffusioni da cloud. Ecco il potere “X” dell’XDR.
Rilevare tutti gli attacchi
Il potere di correlazione di XDR consente ai team di sicurezza di adottare un approccio operation-centric al rilevamento, tramite l’individuazione dell’intera MalOp (operazione malevola) passando dalla root cause, a dispositivo, sistema e utente colpiti. Con l’XDR, gli analisti possono concentrarsi sul terminare gli attacchi in corso piuttosto che perdere tempo prezioso nel tentare di mettere insieme manualmente le azioni e le attività degli attaccanti, cercando di estrapolarle da una massa disorganizzata e scollegata di alert generati da diversi tool di sicurezza, ciascuno progettato per rivelare un singolo aspetto dell’intero attacco. È questo il potere “D” dell’XDR.
Risposta automatizzata predittiva: comprendere il pieno intento dei comportamenti degli attaccanti e il modo in cui sono correlati trasversalmente ai diversi elementi della rete di un’azienda, mediante un approccio operativo-centrico, consente agli analisti di anticipare le possibili mosse successive e di bloccare preventivamente l’avanzamento dell’attacco con remediation automatizzata o guidata, a seconda delle policy di Cybersecurity adottate. Solamente un approccio operativo-centrico può ridurre il tempo di permanenza degli attaccanti da mesi a minuti: ed è questo il potere “R” dell’XDR.
Threat hunting proattivo
XDR consente alle aziende di concentrarsi sul rilevamento proattivo delle minacce. Questa attività è fondamentale, perché consente di cercare catene comportamentali sospette che possono far venire a galla gli attacchi più rapidamente e ridurre al minimo il danno che tali operazioni possono causare. Con XDR, i team di Cybersecurity possono passare dall’analizzare eventi alla ricerca di minacce, senza dover generare query complesse. Inoltre, possono far confluire quanto imparato da un rilevamento di successo in norme e logica di rilevamento personalizzate, affinché la futura ricerca delle minacce sia basata su un approccio operazione-centrico. In definitiva, questo è il potere “unificante” dell’XDR: tutto in un’unica soluzione.
Inoltre, la soluzione XDR basata su AI fornisce ai Defender la capacità di prevedere, rilevare e rispondere ai cyber attacchi trasversalmente all’intera azienda, compresi endpoint, reti, identità, cloud, spazi di lavoro delle applicazioni e molto altro.
Con una soluzione XDR forte, noi, i Defender, possiamo di nuovo avere la meglio grazie alla capacità di rilevare, correlare e fermare gli attacchi in tempo reale, persino attraverso ambienti aziendali complessi e in continua evoluzione. XDR promette un’esperienza focalizzata sui valori della Cybersecurity: un migliore rilevamento, un’analisi più semplice, una risposta più rapida. Per annientare un avversario che può districarsi tra enormi quantità di dati e che comprende gli alert, è necessario un approccio operazione-centrico. Implementare una soluzione XDR vuol dire fruire di un rilevamento più rapido, di una remediation più veloce e quindi bloccare gli attacchi prima che si trasformino in violazioni riuscite.