L’apertura del perimetro di rete a un numero crescente di dispositivi, applicazioni, utenti in locale e da remoto sta rendendo meno trasparenti e sicure le infrastrutture aziendali, rendendo necessario adottare nuovi approcci, come l’XDR (Extended Detection and Response). Parliamo di un approccio integrato alla security in grado di evitare le perdite di controllo sull’infrastruttura e semplificare il lavoro di gestione da parte degli amministratori, automatizzando le azioni di difesa.
Secondo i dati del rapporto Panaseer 2022 Security Leaders, il numero medio dei tool impiegati per la security nelle grandi imprese è cresciuto del 19% negli ultimi tre anni (in numero si è passati da 64 a 76), a fronte di un modesto 36% di specialisti intervistati che ha dichiarato piena fiducia nell’efficacia delle protezioni.
La complessità dei moderni ambienti informativi aumenta vulnerabilità e rischi. L’aumento di pari passo nel numero dei tool non migliora la sicurezza se manca la visione d’insieme sull’infrastruttura fissa e mobile, se non si riescono a correlare le informazioni, ridurre la complessità del controllo e i tempi di reazione. Questo è ciò che oggi promettono le piattaforme XDR – Extended Detection and Response, per migliorare il contrasto di attacchi zero-day e delle minacce di cybersecurity più avanzate.
Indice degli argomenti
Perché ricorrere all’Extended Detection and Response (XDR)
Dotarsi di sistemi antivirus, firewall e di protezione su endpoint è una condizione necessaria ma non sufficiente per far fronte alle minacce di sicurezza che un XDR può invece rilevare e bloccare. Questa è l’opinione di Luca Volpato, CEO di ITS, partner Gold italiano di WatchGuard Technologies che ne spiega i motivi: “Ogni protezione offre una visione parziale di ciò che succede nell’ambiente operativo, non dà agli amministratori tutte le informazioni per identificare un attacco. L’amministratore ha spesso troppe console diverse e troppi dati da analizzare per riconoscere tempestivamente i segnali iniziali di un attacco”.
I tool di sicurezza lasciano inoltre dei gap tra le protezioni attraverso i quali gli attaccanti possono insinuarsi. L’uso di soluzioni diverse, stratificate nel tempo, ostacola la comunicazione tra i sistemi di difesa, e quindi la raccolta, l’analisi e la correlazione dei dati. “Un punto di forza dell’XDR è la capacità di integrare i dati di log provenienti dai diversi sistemi di sicurezza, quindi metterli in correlazione per trovare i segnali distintivi delle attività sospette e applicare in modo automatico le protezioni”.
L’automazione delle difese è un’altra capacità chiave dell’XDR. “Tempi di rilevamento troppo lunghi o azioni di risposta non mirate permettono agli autori degli attacchi di propagare malware, sottrarre i dati o renderli indisponibili con il ransomware, moltiplicando i danni per l’azienda, i costi e i tempi di rispristino dell’operatività”.
L’impiego pratico dell’XDR nei contesti di security aziendali
XDR integra i sistemi di difesa, raccoglie le rilevazioni, le correla, le analizza e quindi coordina le azioni di difesa. “In relazione a un evento il sistema può, per esempio, isolare l’IP di una postazione in uno stato di funzionamento critico, modificare la configurazione del firewall, spegnere un segnale wi-fi per isolare un attaccante o contrastare il malware – spiega Volpato -. Per questo una piattaforma XDR deve poter dialogare con gli altri sistemi di protezione, sia per ottenere dati dalla rete sia per mettere in atto le difese”.
Un aspetto importante è la capacità di operare in maniera autonoma o semi-autonoma sulla base dei dati di telemetria ricevuti dagli apparati e dai software di security. “L’automazione richiede l’orchestrazione delle difese; l’XDR agisce sulla base di regole e di azioni adatte alla minaccia e al contesto aziendale”.
XDR non sostituisce le persone della security ma ne allevia i compiti: “Agisce in modo simile a un SOC, anticipando le reazioni di difesa di primo livello”. L’XDR serve quindi a compensare la mancanza di tempo del personale nella valutazione degli avvisi di sicurezza, così come d’esperienza di chi è di turno nei festivi e nei week-end, quando si concentrano gli attacchi.
XDR costituisce una risorsa utile anche alle PMI e in realtà che non hanno un presidio dedicato alla security o che sfruttano servizi gestiti. “Un ambito che, nella nostra esperienza, utilizza ancora molti strumenti di sicurezza eterogenei, con integrazioni limitate tra posta elettronica e antivirus, tra firewall e switch, e nessuna estesa agli EDR per la protezione degli endpoint. Una condizione che consente difese soltanto parziali”.
La soluzione XDR di WatchGuard e gli sviluppi con il cloud e l’AI
L’introduzione di un XDR si accompagna con la razionalizzazione della security e della sua gestione. “Nel nostro lavoro partiamo sempre dall’analisi delle esigenze del cliente per proporre soluzioni in grado di minimizzare gli impatti sull’operatività aziendale. Un risultato che si ottiene per gradi, mirando subito ai punti deboli della security e programmando il rimpiazzo delle vecchie protezioni man mano che scadono le licenze, proteggendo gli investimenti del cliente. La soluzione che proponiamo è ThreatSync di WatchGuard, un XDR che dà il meglio di sé, in termini di facilità e automazione, quando tutte le componenti di security sono integrate e compatibili”.
ThreatSync si basa ed è inclusa nella Unified Security Platform di WatchGuard, “piattaforma che consente di abbracciare la sicurezza in modo integrato, facendo comunicare e agire insieme tutte le linee di difesa, offrendo indicatori di compromissione per l’orchestrazione delle difese. Una piattaforma che cresce con nuove funzionalità, man mano che aumentano minacce ed esigenze”.
Il 19 settembre scorso WatchGuard ha acquisito CyGlass, società sviluppatrice di una piattaforma cloud per la threat detection che usa tecniche avanzate di machine learning e intelligenza artificiale (ML/AI) per la difesa su reti ibride. Una tecnologia con cui WatchGuard intende potenziare le capacità d’automazione del proprio XDR ed estendere l’integrazione con switch e dispositivi di terze parti. L’approccio basato su cloud promette di rendere più efficace l’elaborazione dei dati di security e portare vantaggi anche a livello del reporting sulla sicurezza e per il supporto delle compliance normative.
Contributo editoriale sviluppato in collaborazione con ITS e WatchGuard