La forte spinta allo sviluppo e al progresso digitale degli ultimi anni ha fatto sì che anche gli attacchi ai sistemi di sicurezza diventassero sempre più complessi. Per questo motivo le organizzazioni stanno dando sempre più priorità al rilevamento delle minacce e alle capacità di risposta, il cosiddetto “detect and respond”.
In un sondaggio del gennaio 2020, il SANS Institute ha appreso che la metà delle aziende leader della cybersecurity aumenterà gli investimenti negli strumenti di rilevamento e risposta per aiutare le loro aziende a difendersi meglio dalle minacce emergenti.
Una tendenza che la pandemia di COVID-19 ha accelerato e reso ancora più importante inaugurando un’era di modelli di lavoro remoto-ibrido.
Molti potrebbero considerare Detect and Respond come la stessa cosa, ma non è così.
MDR (Managed Detection and Response), EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response) servono diverse esigenze ed è importante capire le differenze per determinare quale sia il migliore da utilizzare a seconda del contesto.
MDR – Rilevamento e risposta gestiti
Partiamo dal Managed Detection and Response (MDR). Questo modello sfrutta team esterni che lavorano da un Security Operations Center e informazioni all’avanguardia sulle minacce come moltiplicatore della forza lavoro.
In un certo senso, l’MDR è molto simile alle offerte dei Managed Security Service Provider (MSSP) in quanto esternalizza il monitoraggio della sicurezza e raramente la risposta a terzi, ma include anche il rilevamento e la risposta agli incidenti, nonché il threat hunting proattivo in alcuni casi.
Le offerte MDR sono però limitate nella loro capacità di correlare la telemetria delle minacce da tutte le risorse di rete, limitando la capacità di rilevare e rispondere alle minacce nelle prime fasi di un attacco.
EDR – Rilevamento e risposta degli Endpoint
L’Endpoint Detection and Response (EDR) porta ancora più valore ai clienti, ma ha anche i suoi limiti. Questo sistema fa un passo in avanti rispetto alle soluzioni antivirus tradizionali, concentrandosi sul rilevamento e la risposta sugli endpoint di un’organizzazione.
Spesso i malintenzionati devono compromettere un desktop, un laptop, uno smartphone, un server o un altro endpoint per stabilire un punto d’appoggio nella rete di una vittima, e hanno bisogno di ulteriori endpoint per muoversi lateralmente e rubare informazioni.
Per difendersi da queste attività dannose, l’EDR dà la priorità al monitoraggio continuo e al rilevamento delle minacce, nonché alla risposta automatica alle minacce su ogni endpoint. Questi due “filoni” aiutano gli analisti a rispondere rapidamente alle minacce degli endpoint.
Un EDR non può tuttavia rilevare l’attività delle minacce sugli endpoint che non hanno un agente installato e manca anche la visibilità necessaria per fornire informazioni su come gli attaccanti potrebbero combinare endpoint infetti con attività dannose nel cloud, identità utente compromesse o in altre parti della rete come parte di un’operazione in più fasi.
Inoltre, un setup non corretto di un ambiente EDR potrebbe restituirci molti alert, spostando l’attività di cybersecurity in una attività puramente alert-centrica, senza capacità di interagire correttamente con gli alert.
XDR – Rilevamento e risposta estesi
L’XDR estende le capacità di EDR oltre gli endpoint ai carichi di lavoro cloud di un’organizzazione, alle suite di applicazioni e alle persone degli utenti. L’approccio XDR fornisce una soluzione di sicurezza unificata con il contesto necessario per fornire ai team di sicurezza una visibilità completa delle potenziali minacce e offre opzioni di risposta automatizzate o con un solo clic.
I sistemi XDR necessitano ovviamente di personale altamente qualificato, in quanto gli analisti si trovano a valutare diversi aspetti di una minaccia, dal suo contenuto al contesto, alle informazioni di identità, rete, posta elettronica. Data la skill shortage del mercato, potrebbe essere un problema anche trovare solamente personale in grado di considerare molti aspetti della security sotto analisi.
In conclusione, quello che si evince è che, ancora una volta, la security ha una sua complessità, è estremamente importante riuscire a progettare un piano di security e affidarsi a dei partner che possano aiutarvi nel comprendere i trend e le tecnologie disponibili sul mercato.
BeSafe è sempre disponibile nell’affiancare i propri clienti sia nella fase progettuale che in quella esecutiva, senza dimenticare i nostri servizi gestiti, vero abilitatore della nostra filosofia: lasciare che il cliente abbia la sicurezza di esprimere il proprio potenziale.