Più le ar­chi­tet­tu­re IT sono ibride e ca­rat­te­riz­za­te da una varietà di di­spo­si­ti­vi finali, cloud e server integrati, più vasto e variegato è lo spettro delle possibili minacce in­for­ma­ti­che per il sistema. In questo contesto, XDR (Extended Detection and Response) si configura come una soluzione di sicurezza moderna e ad alte pre­sta­zio­ni che comprende diversi strumenti di analisi e sicurezza. Il concetto generale è che XDR esamina quasi tutti i livelli del panorama IT, esegue analisi di sicurezza in tempo reale e ottimizza risposte dinamiche e ibride per scenari di minaccia in costante evo­lu­zio­ne.

Che cos’è XDR? Una spie­ga­zio­ne

XDR (Extended Detection and Response) è un concetto di sicurezza in­no­va­ti­vo che prevede un approccio olistico alla pre­vi­sio­ne, al ri­le­va­men­to in tempo reale e alla difesa dalle minacce in­for­ma­ti­che dinamiche. Di­ver­sa­men­te dalle soluzioni di sicurezza con­ven­zio­na­li, come i classici programmi antivirus, XDR non si concentra su minacce di sicurezza pre­de­fi­ni­te come virus, attacchi ran­som­ware o phishing, ma su un’ar­chi­tet­tu­ra di sicurezza fles­si­bi­le co­sti­tui­ta da vari strumenti combinati come la sicurezza degli endpoint, SIEM: Security In­for­ma­tion and Event Ma­na­ge­ment, NGAV e Managed Security Services.

In genere, XDR fa parte dei servizi SaaS (Software as a Service), vale a dire la fornitura di una soluzione di sicurezza composta da vari strumenti tramite un provider XDR.

L’obiettivo di XDR è ri­spon­de­re a minacce ete­ro­ge­nee e adat­ta­bi­li con la massima fles­si­bi­li­tà e rapidità possibile nonché in modo proattivo e basato sul com­por­ta­men­to. A questo scopo, questo sistema si avvale di strumenti di sicurezza classici per la pro­te­zio­ne da ran­som­ware, spyware e scareware, con par­ti­co­la­re at­ten­zio­ne a di­spo­si­ti­vi e ap­pli­ca­zio­ni finali specifici. Varie funzioni di cor­re­la­zio­ne, con­te­stua­liz­za­zio­ne e analisi au­to­ma­tiz­za­ta si occupano inoltre di coprire l’intero livello IT, dalle e-mail e dai servizi cloud alle reti e ai server. Anche in questo caso possono essere impiegati l’in­tel­li­gen­za ar­ti­fi­cia­le e l’ap­pren­di­men­to au­to­ma­ti­co. È quindi im­pos­si­bi­le dare una risposta esaustiva alla domanda “Che cos’è XDR?”, dal momento che si tratta di un concetto composto da vari strumenti combinati.

Perché è im­por­tan­te questo concetto di Extended Detection and Response?

L’idea classica di sicurezza in­for­ma­ti­ca si basa sul ri­le­va­men­to e sulla difesa da minacce e attacchi in­for­ma­ti­ci noti, tra cui firme di malware, modelli di attacco e vul­ne­ra­bi­li­tà note. Negli ambienti di lavoro e nelle reti aziendali moderne, però, si uti­liz­za­no com­bi­na­zio­ni sempre più complesse di di­spo­si­ti­vi finali locali e mobili, reti, servizi e ambienti cloud co­sti­tui­ti da cloud ibridi e mul­ti­cloud.

Queste soluzioni non solo fa­vo­ri­sco­no un aumento della fles­si­bi­li­tà e dell’ef­fi­cien­za delle aziende, ma anche del numero di scenari di minaccia, compresi gli exploit zero day. Per af­fron­ta­re attacchi in­for­ma­ti­ci complessi e continui su più livelli delle ar­chi­tet­tu­re IT o ad­di­rit­tu­ra minacce per­si­sten­ti avanzate (APT), occorrono soluzioni di sicurezza molto potenti. Dato che ormai a questo scopo è ne­ces­sa­rio servirsi di più strumenti combinati, sono sempre di più le aziende che decidono di uti­liz­za­re i sistemi XDR, so­li­ta­men­te basati su SaaS.

Com­bi­nan­do strumenti multipli, co­mu­ni­can­ti e legati al contesto sarà più facile ri­co­no­sce­re e prevedere le si­tua­zio­ni di minaccia in tempo reale. Nel caso di attacchi, questi vengono scon­giu­ra­ti e contenuti mi­ra­ta­men­te per pro­teg­ge­re i dati sensibili e le aree di rete. XDR respinge gli attacchi facendo af­fi­da­men­to su tutte le soluzioni di sicurezza integrate dell’azienda e protegge da furti e crit­to­gra­fia dei dati, ran­som­ware, malware, controllo remoto, spio­nag­gio e dif­fu­sio­ne di malware. XDR è in grado di ri­co­no­sce­re e prevenire le emergenze prima che si ve­ri­fi­chi­no. In questo modo è possibile scon­giu­ra­re le con­se­guen­ze dannose di un attacco, come ad esempio una costosa rimozione del malware, la so­sti­tu­zio­ne dell’in­fra­strut­tu­ra IT o la necessità di avvisare la clientela, con i danni alla re­pu­ta­zio­ne che ne con­se­gui­reb­be­ro.

Che cosa può essere protetto con XDR?

Per la maggior parte delle persone che si occupano di sicurezza, XDR è con­si­de­ra­to un’ulteriore evo­lu­zio­ne delle classiche piat­ta­for­me di sicurezza e pro­te­zio­ne degli endpoint (EPP). Il sistema di sicurezza degli endpoint come parte di una piat­ta­for­ma stan­dar­diz­za­ta offre di per sé un concetto globale per la pro­te­zio­ne di tutti i di­spo­si­ti­vi finali integrati nella rete aziendale, da PC, computer portatili e smart­pho­ne a server e router. Ma XDR si spinge oltre, perché non si limita alle aree se­con­da­rie come i di­spo­si­ti­vi finali, bensì include anche tutti i livelli dell’ar­chi­tet­tu­ra IT di difesa e analisi delle minacce.

XDR protegge le seguenti aree delle in­fra­strut­tu­re IT:

  • Di­spo­si­ti­vi finali locali e mobili integrati come PC, stampanti, scanner, fo­to­co­pia­tri­ci, computer portatili, tablet, smart­pho­ne e altro ancora
  • Com­po­nen­ti di rete come server, router, modem e switch
  • Servizi cloud e archivi cloud
  • Sistemi di database e servizi di posta elet­tro­ni­ca
  • Server fisici e virtuali

Essendo XDR un concetto di sicurezza in­tel­li­gen­te e fles­si­bi­le, po­ten­zial­men­te è in grado di integrare nella sua area di pro­te­zio­ne qualsiasi livello e qualsiasi in­ter­fac­cia che ap­par­ten­ga alla tua rete aziendale o che comunichi con essa.

Compute Engine
La soluzione IaaS ideale per i tuoi carichi di lavoro
  • vCPU estre­ma­men­te van­tag­gio­se e potenti core dedicati
  • Massima fles­si­bi­li­tà senza periodo con­trat­tua­le minimo
  • Servizio di as­si­sten­za tecnica 24 ore su 24, 7 giorni su 7

Come funziona XDR (Extended Detection and Response)?

Come nel caso delle soluzioni di sicurezza per gli endpoint, XDR armonizza gli strumenti uti­liz­za­ti e mostra i risultati delle analisi, i report e gli avvisi in un’unica console di gestione am­mi­ni­stra­ti­va centrale. Il principio alla sua base non è solo la difesa selettiva e limitata dalle singole minacce in corso, ma anche la va­lu­ta­zio­ne con­te­stua­le dei dati relativi agli attacchi. Questo consente di imparare a livello di sistema e in modo duraturo da ogni si­tua­zio­ne di minaccia, di ri­co­no­sce­re gli attacchi acuti e complessi, pre­ve­den­do persino gli scenari di attacco futuri.

Per svolgere questi compiti, una soluzione XDR deve disporre delle seguenti ca­rat­te­ri­sti­che e funzioni:

Funzione Ca­rat­te­ri­sti­che
Endpoint Security (EDR: Endpoint Detection and Response) Mo­ni­to­rag­gio di tutti i di­spo­si­ti­vi finali (locali e mobili) connessi alla rete o che co­mu­ni­ca­no con la rete
Creazione di database delle minacce e di in­di­ca­to­ri di com­pro­mis­sio­ne (IOC) per­so­na­liz­za­ti
Una com­bi­na­zio­ne di pro­te­zio­ne con antivirus/malware classici e antivirus di nuova ge­ne­ra­zio­ne (NGAV: Next-Ge­ne­ra­tion Antivirus)
Controllo delle ap­pli­ca­zio­ni e degli accessi gestito a livello am­mi­ni­stra­ti­vo (NAC: Network Access Control)
Te­le­me­tria XDR orientata all’azione e alle minacce Mo­ni­to­rag­gio e analisi dei dati pro­ve­nien­ti da di­spo­si­ti­vi finali, servizi cloud, firewall, server e altro ancora, a livello di sistema e di rete
Schemi pre­de­fi­ni­ti, ontologie e modelli di ri­le­va­men­to accurati che con­sen­to­no di rag­grup­pa­re e correlare gli incidenti e di au­to­ma­tiz­za­re la risposta e la difesa in tempo reale
Risposte au­to­ma­ti­che e pre­de­fi­ni­te agli scenari di minaccia, come qua­ran­te­ne e con­te­ni­men­to delle ap­pli­ca­zio­ni, rimozione dei di­spo­si­ti­vi finali, blocco di IP e domini
Flussi di lavoro, playbook e migliori pratiche integrate In­te­gran­do le migliori pratiche di successo e flussi di lavoro ef­fi­cien­ti in caso di attacchi, si possono ridurre enor­me­men­te i tempi di risposta e prevenire tem­pe­sti­va­men­te le minacce.
IA e ap­pren­di­men­to au­to­ma­ti­co Le funzioni di analisi e gli scenari di difesa sup­por­ta­ti da IA e ap­pren­di­men­to au­to­ma­ti­co rilevano e scon­giu­ra­no anche tipi di minacce nascoste o nuove at­tra­ver­so la raccolta con­te­stua­le di incidenti di sicurezza e dati di analisi.
Ag­gior­na­men­ti e upgrade au­to­ma­ti­ci Gli ag­gior­na­men­ti au­to­ma­ti­ci di tutti gli strumenti di sicurezza integrati ga­ran­ti­sco­no che la strategia XDR sia sempre al passo con la si­tua­zio­ne attuale delle minacce.

Ulteriori soluzioni XDR

Altri strumenti che possono essere integrati in un concetto di XDR sono, ad esempio:

  • Data Loss Pre­ven­tion (DLP): le strategie e misure di pro­te­zio­ne contro il furto di dati e le vio­la­zio­ni di dati.
  • Fil­trag­gio degli URL: il blocco o la con­di­vi­sio­ne degli URL in base a parametri pre­de­fi­ni­ti per pro­teg­ge­re la rete aziendale.
  • Crit­to­gra­fia degli endpoint: lo scambio di dati aziendali con utenti provvisti di au­to­riz­za­zio­ne sulla base della crit­to­gra­fia e della de­ci­fra­zio­ne dei dati.
  • Iso­la­men­to del browser: l’ese­cu­zio­ne di sessioni del browser in ambienti isolati.
  • Pro­te­zio­ne dalle minacce interne: la se­gna­la­zio­ne di attività sospette all’interno della rete grazie a Zero-Trust Network Access (ZTNA).
  • Sicurezza nel cloud: l’utilizzo sicuro dei servizi cloud tramite firewall e strumenti di fil­trag­gio web nel cloud.
  • Sand­bo­xing: l’iso­la­men­to o l’imi­ta­zio­ne di ap­pli­ca­zio­ni e domini per pro­teg­ge­re dagli attacchi le aree critiche della rete.
  • Secure E-mail Gateway: il mo­ni­to­rag­gio e il controllo del traffico e-mail alla ricerca di contenuti sospetti tramite Secure E-mail Gateway (SEG).

Tutti i vantaggi di XDR (Extended Detection and Response)

Al giorno d’oggi, XDR è uno strumento in­di­spen­sa­bi­le per una sicurezza in­for­ma­ti­ca in­tel­li­gen­te, proattiva ed efficace. Sce­glien­do XDR come soluzione basata su SaaS, potrai be­ne­fi­cia­re dei seguenti vantaggi:

Pro­te­zio­ne olistica dei dati e dei sistemi aziendali, della clientela e dell’impresa

A dif­fe­ren­za delle soluzioni tra­di­zio­na­li per la pro­te­zio­ne di reti, sistemi ed endpoint, XDR combina diversi strumenti di sicurezza in una soluzione ete­ro­ge­nea di servizi combinati. Anziché limitare l’analisi delle minacce e la difesa at­tra­ver­so prodotti gestiti se­pa­ra­ta­men­te, la soluzione impiega un’in­ter­fac­cia utente chiara e gestita cen­tral­men­te che mette in relazione i vari dati raccolti e li valuta in modo con­te­stua­le. I flussi di lavoro e le reazioni au­to­ma­tiz­za­te con­sen­to­no di ri­co­strui­re i percorsi degli attacchi e di re­spin­ge­re, isolare o contenere le minacce in modo rapido ed ef­fi­cien­te. Questo porta a un maggiore controllo, una migliore tra­spa­ren­za e a una sicurezza completa per l’azienda.

Analisi veloci a bassa ri­don­dan­za dei dati per una difesa orientata all’azione

At­tra­ver­so le migliori pratiche integrate, scenari di difesa pre­de­fi­ni­ti e database di minacce ag­gior­na­ti, la sicurezza in­for­ma­ti­ca può essere im­ple­men­ta­ta con una riduzione si­gni­fi­ca­ti­va dei dati. Le anomalie innocue o gli avvisi non sospetti vengono au­to­ma­ti­ca­men­te filtrati e le minacce serie vengono prio­ri­tiz­za­te. Inoltre, le analisi sup­por­ta­te dall’IA e dall’ap­pren­di­men­to au­to­ma­ti­co ga­ran­ti­sco­no analisi in tempo reale rapide e au­toap­pren­den­ti, in grado di rilevare minacce nascoste, avanzate o a più livelli.

Risparmio di tempo e di costi

L’uso stan­dar­diz­za­to di una vasta gamma di strumenti di sicurezza può con­tri­bui­re a diminuire no­te­vol­men­te l’impegno am­mi­ni­stra­ti­vo ne­ces­sa­rio per le va­lu­ta­zio­ni manuali con strumenti di sicurezza separati. Le analisi e le reazioni au­to­ma­tiz­za­te non riducono solo il carico di lavoro, ma anche i tempi di risposta alle si­tua­zio­ni di minaccia acuta, per­met­ten­do alle soluzioni di sicurezza di reagire prima che i soggetti umani coinvolti vengano a co­no­scen­za degli incidenti.

XDR fornisce una piat­ta­for­ma integrata con analisi e va­lu­ta­zio­ni ef­fi­cien­ti di dati di sistema complessi, con con­se­guen­te riduzione dei costi di indagine. In aggiunta, in contesti hardware e software complessi, l’elevata sicurezza per­ma­nen­te consente di evitare misure costose e onerose come la pulizia dei sistemi o la reim­po­sta­zio­ne di di­spo­si­ti­vi finali infetti, nonché danni all’immagine dell’azienda dovuti al furto di dati.

Di­stin­zio­ne tra XDR e EDR

EDR (Endpoint Detection and Response) XDR (Extended Reaction and Response)
Mo­ni­to­rag­gio, analisi e difesa au­to­ma­tiz­za­ti contro le minacce in­for­ma­ti­che a livello di di­spo­si­ti­vo finale (nella migliore delle ipotesi basati su una piat­ta­for­ma di pro­te­zio­ne degli endpoint) Con­so­li­da­men­to e cor­re­la­zio­ne dei dati di analisi pro­ve­nien­ti da diversi livelli della rete, compreso il livello degli endpoint, su una dashboard centrale, nonché ri­le­va­men­to e difesa proattiva di incidenti di sicurezza da semplici a complessi
Vai al menu prin­ci­pa­le