Paolo Ardemagni, Regional Director of Sales Southern Europe and Emerging Markets di SentinelOne, spiega le differenze fra EDR, SIEM, SOAR e XDR
Ad oggi, il settore della cybersecurity è costellato da l’utilizzo di acronimi. Di fatti, a causa dell’aumento dei vettori di attacco verso endpoint, reti e cloud, molte aziende stanno adottando un nuovo approccio alla sicurezza, originano un ulteriore acronimo: XDR. L’ Extended Detection and Response, ha ottenuto molti consensi da parte di professionisti IT e analisti. Tuttavia, nonostante questo successo, essendo una soluzione in costante sviluppo, c’è confusione intorno all’argomento.
A questo riguardo, SentinelOne, azienda attiva nel mercato EDR e pioniere di questa nuova tecnologia, è in grado di spiegare quali sono le sue caratteristiche e i motivi per cui può fornire risultati migliori ai clienti, evidenziando anche in cosa si differenzia da EDR, SIEM e SOAR.
Cos’è EDR?
La tecnologia EDR monitora tutti gli endpoint, registrando ogni singola attività ed evento. Successivamente mette in correlazione le informazioni per fornire un contesto critico capace di rilevare le minacce avanzate, eseguendo attività di risposta automatica come isolare un endpoint infetto dalla rete quasi in tempo reale.
Cos’è XDR?
XDR è l’evoluzione di EDR, Endpoint Detection and Response. Mentre quest’ultima mette in relazione le attività su più endpoint, XDR amplia la portata per fornire rilevamento, analisi e risposta non solo su endpoint, ma anche su reti, server, carichi di lavoro cloud, SIEM e molto altro. Questo offre una panoramica unificata su molteplici strumenti e vettori d’attacco, contestualizzando le minacce per rispondere attraverso triage, indagini e interventi di remediation rapidi.
Nello specifico, XDR raccoglie e correla in modo automatico i dati attraverso più vettori di sicurezza, facilitando il rilevamento delle minacce per permettere agli analisti di rispondere tempestivamente alla diffusione degli stessi. Le integrazioni out-of-the-box e i meccanismi di rilevamento pre-tuned su più soluzioni e piattaforme contribuiscono a migliorare la produttività, l’individuazione delle minacce e la diagnostica. In sintesi, essa si estende al di là dell’endpoint per prendere decisioni basate su dati provenienti da più soluzioni.
In cosa XDR si differenzia da SIEM?
La tecnologia XDR non è uno strumento di Security Information & Event Management (SIEM). Quest’ultimo raccoglie, aggrega, analizza e memorizza grandi volumi di dati di log da tutta l’azienda. Tali dati includono la governance e la conformità, il pattern matching basato determinati criteri, il rilevamento comportamentale delle minacce come UEBA e la ricerca di fonti di telemetria per IOC.
Tuttavia, questi strumenti richiedono grandi sforzi ai team IT per essere implementati, generando una gigantesca mole di avvisi provenienti da un SIEM. Inoltre, raccogliendo i dati da decine di fonti e sensori, il SIEM è ancora uno strumento analitico passivo che si limita ad emettere avvisi. La piattaforma XDR, invece, è capace di rilevare e rispondere agli attacchi mirati e comprende l’analisi e il profiling del comportamento, utilizzando lo strumento di threat intelligence.
In cosa XDR si differenzia da SOAR?
I team di sicurezza utilizzano le piattaforme Security Orchestration & Automated Response (SOAR) per elaborare a più livelli playbook che automatizzano le azioni attraverso un ecosistema di soluzioni di sicurezza collegate alle API. L’XDR, invece, è in grado di abilitare le integrazioni dell’ecosistema tramite Marketplace, automatizzando semplici azioni con controlli di sicurezza di terze parti.
In aggiunta, SOAR è complesso, costoso e richiede un SOC specializzato per implementare e gestire le integrazioni e i playbook dei partner. Al contrario, XDR è “SOAR-lite”, vale a dire una soluzione semplice, intuitiva, senza codice che dalla piattaforma XDR attiva gli strumenti di sicurezza collegati.
Cos’è MXDR?
Managed Extended Detection and Response (MXDR) estende i servizi MDR in tutta l’azienda, ottenendo una soluzione completamente gestita che include analisi e operazioni di sicurezza, azioni di monitoraggio attivo e d’indagine, attività di threat hunting avanzate, capacità di rilevamento e risposta rapida su endpoint, rete e ambienti cloud.
Perché XDR sta ottenendo consensi, suscitando curiosità?
La soluzione XDR sostituisce la sicurezza in silo, aiutando le imprese a fronteggiare le sfide della cybersecurity in modo unificato. Attraverso un unico fonte di informazioni grezze provenienti dall’intero ecosistema, abilita il rilevamento e la risposta alle minacce più veloce ed efficace rispetto all’EDR, raccogliendo i dati da più fonti. Inoltre, offre più visibilità, contestualizzando le minacce e permettendo ai team di sicurezza di minimizzare la portata dell’attacco e il relativo impatto.
Partendo dal presupposto che un tipico attacco ransomware usa come vettore l’e-mail per aggredire l’endpoint, è importante controllare ciascuno di essi adottando un approccio olistico alla sicurezza. A questo proposito, XDR integra diversi controlli di sicurezza, fornendo risposte automatizzate in tutto il contesto aziendale, disabilitando l’accesso dell’utente, utilizzando l’autenticazione a più fattori su account sospetti, verificando i domini in entrata con regole personalizzate scritte dall’utente o il sistema di risposta prescrittiva integrato nella soluzione.
Secondo il manager di SentinelOne, questa visibilità completa porta a diversi vantaggi, tra cui:
- Riduzione del tempo medio di rilevamento (MTTD), grazie alla correlazione tra le fonti di dati.
- Riduzione del tempo medio d’indagine (MTTI), accelerando il triage e definendo il raggio d’azione.
- Riduzione del tempo medio di risposta (MTTR), abilitando un’automazione semplice, veloce e pertinente.
- Migliore visibilità sull’intera struttura aziendale in ambito sicurezza.
Inoltre, grazie all’AI e all’automazione, una soluzione XDR riduce il carico di lavoro manuale degli analisti di sicurezza.
In conclusione
SentinelOne ritiene che orientarsi verso l’adozione di una soluzione di rilevamento e risposta, può risultare particolarmente complesso. Spesso l’ostacolo più grande è è capire cosa offre ogni soluzione, in particolar modo quando le terminologie variano da fornitore a fornitore con significati diversi. Gli acquirenti devono essere consapevoli di queste differenze poiché non tutte le soluzioni XDR sono uguali. SentinelOne Singularity XDR unifica ed estende la capacità di rilevamento e risposta su più livelli di sicurezza, fornendo ai team una visibilità centralizzata end-to-end, una potente analisi e una risposta automatizzata su tutto lo stack tecnologico dell’azienda.