Attualmente la maggior parte delle imprese deve ancora valutare attentamente il costo e la complessità legati alla raccolta dei dati e alla loro analisi: per questo motivo si sta riponendo particolare attenzione alla Extended detection and response, XDR, con particolare attenzione alle funzionalità di gestione di dati su larga scala.
La XDR è un approccio olistico e multipiattaforma rispetto all’EDR, endpoint detection and response. XDR amplia l’ambito di rilevamento e analizza i dati oltre che su endpoint, su reti, server, workload su cloud, sistemi Security Information Event Management.
IDC prevede che entro il 2025 il volume totale dei dati memorizzati a livello globale raggiungerà 175ZB, aumentando di 5 volte rispetto ai 33ZB del 2018. Per le imprese che cercano di migliorare la propria posizione di sicurezza attraverso i dati, questo scenario rappresenta sia una sfida, sia un’opportunità. Al fine di trasformare dei semplici dati in informazioni fruibili, è necessario contestualizzarli e analizzarli, correlandoli tra loro.
Il contesto della gestione efficace dei dati
Le imprese generano montagne di dati telemetrici, tra cui quelli collegati al registro delle attività di utenti, dispositivi, applicazioni e sensori.
In uno scenario così complesso, rileva Paolo Ardemagni, Senior Regional Director Southern Europe & Emerging Markets di SentinelOne, spesso si tende a ignorare l’esistenza di un problema fino a che non si verifica, per cui è necessario dotarsi di una piattaforma di rilevamento e prevenzione degli endpoint per contrastare eventuali attacchi.
In aggiunta, è fondamentale riuscire a individuare e analizzare le tracce lasciate dagli aggressori per comprendere le loro tecniche, le procedure (TTP), il motivo che li spinge ad agire e la portata del loro attacco.
I dispositivi non autorizzati e lo shadow IT
La progressiva espansione della superficie di attacco aziendale, osservs Ardemagni, richiede più fonti di telemetria per minimizzare o eliminare i punti ciechi esistenti. Per far fronte a questo problema, le imprese possono sfruttare i dati raccolti dalla rete di sensori, individuando le lacune nella propria copertura di sicurezza.
In questo caso sono particolarmente appropriate soluzioni che rendono visibile l’intero insieme di dispositivi aziendali, consentendo ai team di sicurezza di identificare tempestivamente quelli a rischio, perché privi di protezione.
Nonostante alcune aziende riescano ad accedere in tempo reale a enormi volumi di dati, questi risiedono di solito in un repository che è del tutto separato dal Security Information Event Management (SIEM). Inoltre, man mano che i workload aziendali vengono spostati su soluzioni PaaS o IaaS, il numero di dati non correlati aumenta.
Combinare questa moltitudine di dati provenienti da endpoint, cloud e reti in un unico luogo è costoso.
In aggiunta, considerando le diverse architetture di sicurezza aziendali, è importante che i modelli analitici di dati cross-vendor siano integrati all’interno di un efficace arsenale di rilevamento e protezione.
Come emerge dal caso dell’attacco alla supply chain di SolarWinds, spiega Ardemagni, i team IT necessitano di un sistema di archiviazione dei dati per poter rilevare efficacemente eventuali minacce.
La piattaforma SentinelOne Singularity, dice Ardemagni, permette di svolgere tutto questo in tempo reale, conservando i dati per 365 giorni e offrendo agli analisti del SOC una visibilità completa delle TTP degli avversari mediante la raccolta delle informazioni dell’intero anno.
I punti chiave da prendere in considerazione
Per gestire in modo efficace i dati su larga scala, riassume Ardemagni, bisogna adottare una strategia che conformi i dati generati, raccolti e analizzati da un’impresa.
In particolare, è necessario che:
- Nessuna applicazione trattenga i dati
- Non si duplichino i dati in più archivi in quanto è costoso e ingestibile
- Non si mantengano silos di dati scollegati, che portano a mancati rilevamenti di minacce e punti ciechi nel triage degli incidenti di sicurezza
- Le aziende non si trovino a dover gestire una quantità ridotta di dati rilevanti a causa dei costi elevati
