Cos'è l'XDR?

Come funziona l'XDR?

L'XDR raccoglie i dati di telemetria da quelli che altrimenti sarebbero più compartimenti isolati di dati, utilizzando un agente locale che funge efficacemente da soluzione di gestione degli eventi e delle informazioni di sicurezza (SIEM), tra le altre funzioni. L'XDR identifica malware e minacce avanzate e adotta diverse misure per assegnarvi le priorità, mitigarle e neutralizzarle con la potenza del machine learning (ML) e dell'automazione.

A questo scopo, l'XDR esegue in modo continuativo tre principali funzioni:

1. Analisi

Questa soluzione raccoglie i dati da server, endpoint, cloud e altre parti dell'ecosistema, li correla e invia al team di sicurezza dell'organizzazione solo gli avvisi rilevanti e critici, contribuendo a ridurre al minimo la proliferazione di falsi positivi.

2. Rilevamento

Grazie alla sua visibilità estesa e granulare, l'XDR utilizza l'ML per definire una base di riferimento del comportamento standard di utenti ed entità. In abbinamento ad altri meccanismi di rilevamento, questo consente alla soluzione di XDR di analizzare le anomalie che potrebbero indicare la presenza di minacce alla sicurezza.

3. Risposta

Quando l'XDR isola e neutralizza una minaccia, aggiorna anche le policy di sicurezza, in modo da poterla fermare in futuro. Il suo punto di forza, rispetto all'EDR, è il consolidamento delle risorse del centro operativo di sicurezza (SOC), riunendo ecosistemi di reti, endpoint e cloud in un'unica console.

I vantaggi della sicurezza XDR

Unificando le capacità di rilevamento e risposta nell'intero ecosistema di dati, l'XDR va oltre i tradizionali prodotti di sicurezza e le soluzioni non integrate, per offrire una copertura maggiore e un quadro più completo sugli incidenti di sicurezza. Una piattaforma di XDR efficace fornisce:

• Visibilità estesa e granulare e approfondimenti avanzati: con una prospettiva che si estende oltre gli endpoint, una soluzione di XDR è in grado di esaminare a fondo le minacce sofisticate con l'analisi di punti di ingresso, risorse, ambienti interessati e metodi impiegati, su qualsiasi porta, protocollo o livello dell'ecosistema, offrendo un vantaggio nella correzione e nell'individuazione delle cause radice.
• Correlazione e triage automatizzati: l'automazione basata sul machine learning correla i dati e assegna la priorità agli avvisi, ottimizzando i flussi di lavoro di ripristino del team di sicurezza, che così può tralasciare i falsi positivi e far emergere le minacce reali all'interno di volumi di dati che non sarebbero mai in grado di analizzare con soluzioni di sicurezza manuali.
• Operazioni più rapide ed efficienti: grazie a una visione olistica e centralizzata delle minacce, un minor numero di strumenti di sicurezza da gestire e monitorare e un'analisi automatizzata, l'XDR riduce la complessità operativa e consente agli esperti dell'azienda di ricercare proattivamente le minacce e di dedicarsi ad altre attività utili.

Casi d'uso dell'XDR

L'XDR supporta tre principali casi d'uso:

Triage

Dato l'enorme volume di minacce che oggi colpiscono le reti aziendali, perfino i professionisti della sicurezza più esperti non riescono a stare al passo con gli avvisi, e tanto meno a individuare rapidamente e accuratamente i falsi positivi, assegnare la priorità alle minacce più critiche e rispondere in modo efficiente. L'XDR usa il machine learning e l'analisi avanzata per raffinare i dati sulle minacce provenienti dall'intero ecosistema, trasformandoli in un numero gestibile di avvisi altamente affidabili.

Ricerca delle minacce

Le minacce sofisticate di oggi sono estremamente abili nel nascondersi, rendendo la ricerca delle minacce un'attività essenziale, ma anche molto più impegnativa che in passato. Dato che l'XDR offre visibilità sull'intero ecosistema, oltre al rilevamento e alla correlazione basati sul machine learning, è in grado di individuare minacce che le soluzioni di SIEM tradizionali non riuscirebbero a individuare.

Indagine

Le soluzioni di XDR forniscono un contesto completo per supportare l'analisi delle cause alla radice, che include dati storici e in tempo reale, per aiutare il team responsabile della sicurezza a comprendere cosa è accaduto durante un attacco e cosa occorrerà fare per fermare attacchi analoghi in futuro.

Confronto tra XDR e altre tecnologie di rilevamento e risposta

Grazie alle tecnologie di rilevamento e di risposta automatizzata, le aziende possono monitorare costantemente i propri sistemi per rilevare, analizzare e contenere le minacce presenti nel traffico di rete e delle applicazioni non appena si presentano. Utilizzando tecnologie di machine learning e automazione, l'XDR è in grado di assegnare le priorità alle minacce per mitigarle e rimuoverle in tempo reale.

Altre tecnologie di rilevamento e risposta includono:

L'EDR (Endpoint Detection and Response), che è in grado di identificare, stabilire le priorità e rispondere a malware e minacce avanzate su endpoint e workload, ma non ha visibilità sul resto dell'ecosistema.

L'NDR (Network Detection and Response), che concentra le sue capacità di risposta agli attacchi che si nascondono nel traffico di rete e tentano di eludere i firewall di rete.

L'MDR (Managed Detection and Response), che si basa su servizi forniti da un team di analisti della sicurezza terzi, anziché dal personale interno dell'azienda.

In passato, NDR ed EDR hanno rappresentato delle rivoluzioni nel campo della sicurezza delle reti e degli endpoint, ma gli ecosistemi di dati complessi e multilivello di oggi richiedono una visibilità e un'analisi più coordinate, insieme a una maggiore accuratezza e velocità, per riuscire a stare al passo con il volume e le tecniche sofisticate degli attacchi informatici moderni.

I principali requisiti dell'XDR

Come accade per molte tecnologie emergenti, ci sono numerosi punti di vista su cosa sia esattamente l'XDR. Vediamo quali sono i suoi elementi fondamentali. Le soluzioni di XDR sono:

• Basate su SaaS: fondamentalmente, le soluzioni di XDR vengono fornite come servizio cloud. Questo approccio, oltre a offrire ottimi vantaggi in termini di costi di hosting e manutenzione, è anche fondamentale per assicurare l'efficacia della protezione offerta dall'XDR, in quanto gli aggiornamenti possono essere distribuiti istantaneamente a tutti i clienti.
• Basate su agente: sebbene le soluzioni di XDR siano basate sul cloud, necessitano comunque di un agente installato sugli endpoint fisici e virtuali per la raccolta dei dati che svolge le funzioni di un sistema SIEM. Molti agenti svolgono inoltre funzioni antivirus e di protezione degli endpoint che integrano la funzionalità SaaS.
• Unificate: questa caratteristica è l'essenza delle soluzioni di XDR. Raccogliendo dati telemetrici da qualsiasi fonte e utilizzandoli per alimentare analisi comportamentali e tecniche di rilevamento avanzate, l'XDR offre una protezione da ransomware e altri malware avanzati che va ben oltre ciò che possono fare i prodotti singoli e non integrati tra loro.

In che modo l'XDR supporta lo zero trust?

Se la tua organizzazione sta cercando di implementare un approccio zero trust (o di perfezionare l'architettura zero trust esistente), considera l'aggiunta dell'XDR al tuo set di soluzioni di sicurezza fornito sul cloud per sfruttare appieno i seguenti vantaggi:

• Sicurezza sul cloud più semplice: l'implementazione dello zero trust in un ambiente multicloud può presentare alcune sfide. L'XDR semplifica gran parte del processo, consolidando i workload sul cloud tra gli ambienti e supportando un monitoraggio completo.
• Migliore visibilità: l'XDR esegue analisi in tempo reale e verifiche centralizzate della sicurezza nell'intero ambiente, consentendo all'organizzazione di semplificare la distribuzione e l'implementazione dei controlli di sicurezza zero trust.
• Automazione: l'XDR automatizza le attività principali di identificazione, triage, ricerca e risposta, riducendo il carico di lavoro del team responsabile della sicurezza. L'analisi del comportamento degli utenti e della rete, basata sull'AI e sul machine learning, contribuisce a garantire una sicurezza più rapida ed efficiente.
• Assegnazione delle priorità: lo zero trust presuppone che, fino a prova contraria, qualsiasi entità possa rappresentare una minaccia. L'XDR si adatta perfettamente a questo contesto: utilizzando la correlazione automatizzata e l'analisi basata sul machine learning, fa in modo che i team addetti alla sicurezza non siano inondati di avvisi; in più, aiuta a ottimizzare i flussi di lavoro e a ridurre i tempi di risposta.

Cosa può fare Zscaler?

Zscaler si integra con partner leader del settore per combinare la piattaforma nativa del cloud Zscaler Zero Trust Exchange™ con la potenza dell'XDR. Grazie a AI ed ML, le nostre partnership per l'XDR forniscono informazioni sulle minacce e un contesto molto attendibili, per consentire un rilevamento e una risposta più rapidi ed efficaci su tutte le piattaforme e favorire così una visibilità end-to-end.

Scopri di più su Zscaler e CrowdStrike Falcon XDR.

Scopri di più su Zscaler e SentinelOne Singularity XDR.

Zscaler Zero Trust Exchange

Zero Trust Exchange™ di Zscaler è una piattaforma nativa del cloud e fondata sullo zero trust. Seguendo il principio dell'accesso a privilegi minimi, l'attendibilità viene attribuita in base al contesto, che è composto da fattori come la posizione dell'utente, il profilo di sicurezza del dispositivo, il contenuto scambiato e l'applicazione richiesta. Una volta stabilita l'attendibilità, i dipendenti possono usufruire di connessioni veloci e affidabili, ovunque si trovino, senza mai essere collocati direttamente sulla rete aziendale. Zero Trust Exchange opera attraverso 150 data center in tutto il mondo. Questo garantisce che il servizio sia vicino agli utenti e nella stessa posizione in cui si trovano i provider di servizi cloud e le applicazioni a cui accedono.