XDR laptop Giacomo Lanzi

XDR come approccio alla sicurezza

Estimated reading time: 6 minuti

Proprio come qualsiasi altro campo IT, il mercato della cybersecurity è guidato dall’hype. Attualmente si fa hype verso l’XDR, ossia eXtended Detection and Response.

XDR è la novità per quello che concerne il rilevamento e alla risposta alle minacce, un elemento chiave della difesa dell’infrastruttura e dei dati di un’azienda.

Cos’è esattamente l’XDR?

XDR è un’alternativa ai tradizionali approcci reattivi che forniscono solo una layer visibility sugli attacchi. Mi riferisco a procedure come il rilevamento e la risposta degli endpoint (EDR), l’analisi del traffico di rete (NTA) e i SIEM, di cui abbiamo parlato in molti altri articoli.

La layer visibility implica che si adottino diversi servizi, stratificati (layer), che tengono sotto controllo ciascuno una specifica entità nell’infrastruttura. Questo può essere problematico. Infatti, bisogna assicurarsi che i livelli non finiscano isolati, rendendo difficile, o quasi impossibile gestire e visualizzare i dati. La layer visibility fornisce informazioni importanti, ma può anche portare a problemi, tra cui:

Collezionare troppi avvisi incompleti e senza contesto. L’EDR rileva solo il 26% dei vettori iniziali di attacco e a causa dell’elevato volume di avvisi di sicurezza, il 54% dei professionisti della sicurezza ignora gli avvisi che dovrebbero essere indagati.
Indagini complesse e dispendiose in termini di tempo che richiedono competenze specialistiche. Con l’EDR, il tempo medio per identificare una violazione è aumentato a 197 giorni, e il tempo medio per contenere una violazione è aumentato a 69 giorni.
Strumenti incentrati sulla tecnologia piuttosto che sull’utente o sul business. L’EDR si concentra sulle lacune tecnologiche piuttosto che sulle esigenze operative degli utenti e delle aziende. Con più di 40 strumenti utilizzati in un Security Operations Center (SOC) medio, il 23% dei team di sicurezza passa il tempo a mantenere e gestire gli strumenti di sicurezza piuttosto che eseguire indagini. (Fonte)

XDR raccolta dati

Per i team di sicurezza già sovraccarichi, il risultato può essere un flusso infinito di eventi, troppi strumenti e informazioni da alternare, tempi più lunghi per il rilevamento e spese per la sicurezza che superano il budget e non sono nemmeno pienamente efficaci.

La novità nell’eXtended Detection Response

XDR implementa un approccio proattivo al rilevamento delle minacce e alla risposta. Offre visibilità sui dati attraverso le reti, i cloud e gli endpoint, mentre applica l’analisi e l’automazione per affrontare le minacce sempre più sofisticate di oggi. I vantaggi dell’approccio XDR per i team di sicurezza sono molteplici:

Identificare le minacce nascoste, furtive e sofisticate in modo proattivo e rapido.
Tracciare le minacce attraverso qualsiasi fonte o posizione all’interno dell’organizzazione.
Aumentare la produttività delle persone che operano con la tecnologia.
Ottenere di più dai loro investimenti in sicurezza.
Concludere le indagini in modo più efficiente.

Dal punto di vista del business, XDR permette alle compagnie di individuare i cyber threat e fermare gli attacchi, oltre a semplificare e rafforzare i processi di sicurezza. Di conseguenza, consente alle aziende di servire meglio gli utenti e accelerare le iniziative di trasformazione digitale. Quando utenti, dati e applicazioni sono protetti, le aziende possono concentrarsi sulle priorità strategiche.

Perché considerarlo per la propria azienda

I due motivi principali per cui è vantaggioso questo tipo di approccio sono: gli endpoint non hanno visibilità sulle minacce in luoghi come i servizi cloud, inoltre, potrebbe non essere possibile mettere un software agent su tutti gli endpoint dell’azienda.

Ma ci sono anche altre motivazioni da considerare. L’aggiunta di altre fonti di dati può fornire maggiore contesto nei risultati dell’EDR, migliorando il triage e l’indagine degli avvisi. I provider si stanno movimentando non solo per fornire maggiori dati meglio organizzati, ma anche consegnando piattaforme di analisi per alleggerire il carico analitico sugli operatori. Questo si traduce in facilità d’uso e costi operativi ridotti.

L’XDR può sembrare molto attraente come prodotto: Integrazione stretta delle parti, contenuto altamente sintonizzato (poiché il fornitore ha il controllo totale sugli eventi dalle fonti di dati), uso di analitiche e automazione della risposta.

XDR dati virtuali

A cosa prestare attenzione prima dell’adozione

Alcuni provider stanno posizionando il loro XDR come la soluzione definitiva al rilevamento delle minacce. Tuttavia, molti fornitori non sono in grado di offrire tutti gli strumenti necessari per ottenere il vantaggio venduto. Alcuni provider offrono nel pacchetto il monitoring di endpoint e cloud, altri di endpoint e rete, ma se si esaminano le esigenze complete della maggior parte delle organizzazioni, ci sono spesso dettagli mancanti nell’immagine complessiva.

Se poi, una volta che l’azienda si impegna con un provider e nota una mancanza in uno dei settori monitorati, quali sono le possibili soluzioni? Si genera una situazione di vendor lock-in da cui svincolarsi significa recidere un contratto per poi aprirne un altro, con tutti i costi che ne conseguono.

L’XDR come un approccio, non come prodotto

Prima di sottoscrivere un contratto con un provider che vende un soluzione come definitiva, è sempre bene soppesare in modo analitico i vantaggi e le implicazioni.

L’integrazione stretta e bidirezionale di più capacità di rilevamento e risposta alle minacce è la prima caratteristica distintiva. Ma non è necessario acquistare due componenti tecnologici dallo stesso fornitore per ottenere una buona integrazione. Infatti, molti prodotti hanno la capacità di integrarsi con alcune soluzioni di altri fornitori come uno dei loro principali punti di forza.

L’approccio XDR deve fornire una piattaforma che consente la necessaria raccolta e conservazione dei dati, ma anche forti capacità di analisi, di orchestrare e automatizzare le azioni di risposta fornite dalle altre parti della soluzione. Un Next Generation SIEM cloud based è una soluzione perfetta.

Come muoversi dunque?

L’interesse per i prodotti XDR è un chiaro segnale che l’eccessiva frammentazione stava portando un’eccessiva complessità. Un po’ di consolidamento è un bene, ma deve essere fatto proteggendo la flessibilità e la capacità di seguire le soluzioni migliori.

Secondo noi, un SOCaaS è una soluzione ottimale. Fornisce un SIEM di nuova generazione, con forti capacità di analisi. Inoltre, integra anche un’intelligenza artificiale che aiuta nel riconoscere in tempo le minacce tramite l’analisi del comportamento. Un SOCaaS è il futuro delle piattaforme operative di sicurezza.

Per sapere con i nostri servizi possono aiutarti a proteggere i dati della tua azienda e dei tuoi clienti, contattaci, risponderemo volentieri a ogni tuo dubbio.

Useful links:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS Feed sconosciuto

RSS Feed sconosciuto

RSS Full Disclosure

  • Multiple vulnerabilities in the web management interface of Intelbras routers Luglio 20, 2025
    Posted by Gabriel Augusto Vaz de Lima via Fulldisclosure on Jul 19=====[Tempest Security Intelligence]========================================== Multiple vulnerabilities in the web management interface of Intelbras routers Author: Gabriel Lima =====[Table of Contents]====================================================== 1. Overview 2. Detailed description 3. Other contexts & solutions 4. Acknowledgements 5. Timeline 6. References =====[1....
  • Missing Critical Security Headers in OpenBlow Luglio 13, 2025
    Posted by Tifa Lockhart via Fulldisclosure on Jul 12Advisory ID: OPENBLOW-2025-003 Title: Missing Critical Security Headers in OpenBlow Date: 2025-07-12 Vendor: OpenBlow (openblow.it) Severity: High CVSS v3.1 Base Score: 8.2 (High) Vector: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N Summary: Multiple public deployments of the OpenBlow whistleblowing software lack critical HTTP security headers. These configurations expose users to client-side vulnerabilities including […]
  • SAP NetWeaver S/4HANA - ABAP Code Execution via Internal Function Luglio 11, 2025
    Posted by Office nullFaktor GmbH on Jul 11nullFaktor Security Advisory < 20250719 > =========================================================== Title: ABAP Code Execution via Internal Function Module WRITE_AND_CALL_DBPROG Vulnerability: Exposed Dangerous Functionality Product: SAP NetWeaver S/4HANA Homepage: http://www.sap.com Affected Version: S/4HANA, SAP_BASIS 757 SP 3 SAP Note: 3546011 Impact: High...
  • Tiki Wiki CMS Groupware <= 28.3 Two Server-Side Template Injection Vulnerabilities Luglio 10, 2025
    Posted by Egidio Romano on Jul 09---------------------------------------------------------------------------------- Tiki Wiki CMS Groupware
  • KL-001-2025-011: Schneider Electric EcoStruxure IT Data Center Expert Unauthenticated Server-Side Request Forgery Luglio 9, 2025
    Posted by KoreLogic Disclosures via Fulldisclosure on Jul 09KL-001-2025-011: Schneider Electric EcoStruxure IT Data Center Expert Unauthenticated Server-Side Request Forgery Title: Schneider Electric EcoStruxure IT Data Center Expert Unauthenticated Server-Side Request Forgery Advisory ID: KL-001-2025-011 Publication Date: 2025-07-09 Publication URL: https://korelogic.com/Resources/Advisories/KL-001-2025-011.txt 1. Vulnerability Details      Affected Vendor: Schneider Electric      Affected...
  • KL-001-2025-010: Schneider Electric EcoStruxure IT Data Center Expert Privilege Escalation Luglio 9, 2025
    Posted by KoreLogic Disclosures via Fulldisclosure on Jul 09KL-001-2025-010: Schneider Electric EcoStruxure IT Data Center Expert Privilege Escalation Title: Schneider Electric EcoStruxure IT Data Center Expert Privilege Escalation Advisory ID: KL-001-2025-010 Publication Date: 2025-07-09 Publication URL: https://korelogic.com/Resources/Advisories/KL-001-2025-010.txt 1. Vulnerability Details      Affected Vendor: Schneider Electric      Affected Product: EcoStruxure IT Data Center Expert...
  • KL-001-2025-009: Schneider Electric EcoStruxure IT Data Center Expert Remote Command Execution Luglio 9, 2025
    Posted by KoreLogic Disclosures via Fulldisclosure on Jul 09KL-001-2025-009: Schneider Electric EcoStruxure IT Data Center Expert Remote Command Execution Title: Schneider Electric EcoStruxure IT Data Center Expert Remote Command Execution Advisory ID: KL-001-2025-009 Publication Date: 2025-07-09 Publication URL: https://korelogic.com/Resources/Advisories/KL-001-2025-009.txt 1. Vulnerability Details      Affected Vendor: Schneider Electric      Affected Product: EcoStruxure IT Data Center...
  • KL-001-2025-008: Schneider Electric EcoStruxure IT Data Center Expert Root Password Discovery Luglio 9, 2025
    Posted by KoreLogic Disclosures via Fulldisclosure on Jul 09KL-001-2025-008: Schneider Electric EcoStruxure IT Data Center Expert Root Password Discovery Title: Schneider Electric EcoStruxure IT Data Center Expert Root Password Discovery Advisory ID: KL-001-2025-008 Publication Date: 2025-07-09 Publication URL: https://korelogic.com/Resources/Advisories/KL-001-2025-008.txt 1. Vulnerability Details      Affected Vendor: Schneider Electric      Affected Product: EcoStruxure IT Data Center...
  • KL-001-2025-007: Schneider Electric EcoStruxure IT Data Center Expert Unauthenticated Remote Code Execution Luglio 9, 2025
    Posted by KoreLogic Disclosures via Fulldisclosure on Jul 09KL-001-2025-007: Schneider Electric EcoStruxure IT Data Center Expert Unauthenticated Remote Code Execution Title: Schneider Electric EcoStruxure IT Data Center Expert Unauthenticated Remote Code Execution Advisory ID: KL-001-2025-007 Publication Date: 2025-07-09 Publication URL: https://korelogic.com/Resources/Advisories/KL-001-2025-007.txt 1. Vulnerability Details      Affected Vendor: Schneider Electric      Affected Product:...
  • KL-001-2025-006: Schneider Electric EcoStruxure IT Data Center Expert XML External Entities Injection Luglio 9, 2025
    Posted by KoreLogic Disclosures via Fulldisclosure on Jul 09KL-001-2025-006: Schneider Electric EcoStruxure IT Data Center Expert XML External Entities Injection Title: Schneider Electric EcoStruxure IT Data Center Expert XML External Entities Injection Advisory ID: KL-001-2025-006 Publication Date: 2025-07-09 Publication URL: https://korelogic.com/Resources/Advisories/KL-001-2025-006.txt 1. Vulnerability Details      Affected Vendor: Schneider Electric      Affected Product: EcoStruxure IT...

Customers

Newsletter

{subscription_form_2}