Il termine XDR è stato coniato per la prima volta da Nik Zur in una conferenza del settore nel 2018. L'idea è che XDR porti il rilevamento e la risposta oltre l'endpoint, integrando EDR con componenti aggiuntivi come gateway di posta elettronica sicuri basati su cloud e soluzioni di gestione dell'identità e degli accessi (IAM – Identity and Access Management).

La necessità di XDR è guidata dalla richiesta di soluzioni di sicurezza integrate e olistiche. Secondo la ricerca di F-Secure, l'82% delle aziende desidera una soluzione di sicurezza informatica all-in-one  (2). Forrester divide le soluzioni XDR in due categorie: ibride e native. Una piattaforma XDR ibrida integra dati e telemetria da soluzioni di terze parti, mentre una soluzione XDR nativa integra solo soluzioni del portafoglio dello stesso fornitore(3).

In questo senso, XDR non è realmente una nuova soluzione, ma l'unione di soluzioni esistenti che in precedenza non avevano funzionato in armonia quanto avrebbero dovuto. La teoria è che XDR consente a un'unica soluzione di fornire capacità di rilevamento avanzate tramite:

1. Correlazione di telemetria da risorse multiple
2. Utilizzo di un unico data lake per abilitare indagini efficienti
3. Attivazione di una più ampia gamma di azioni di risposta rispetto al solo EDR.

La correlazione dei dati provenienti da diverse fonti viene eseguita con l'obiettivo di aiutare i professionisti della sicurezza a collegare indicatori di attacco (IOA – Indicators Of Attack) o indicatori di compromissione (IOC – Indicators Of Compromise) che potrebbero non emergere da soli, consentendo di catturare più facilmente gli attaccanti che altrimenti sarebbero passati inosservati.

Alcuni potrebbero pensare che l'archiviazione di eventi da più fonti di dati sia il compito di una soluzione SIEM (Security Information and Event Management). Le soluzioni SIEM sono progettate per l'archiviazione di log e per soddisfare i casi d'uso di rilevamento di base, spesso per soddisfare i requisiti di conformità, piuttosto che per il rilevamento di attacchi sofisticati. Le soluzioni SIEM richiedono inoltre molte risorse e spesso si rivelano difficili da gestire, soprattutto quando il numero di fonti di dati diventa molto elevato.

XDR, con EDR alla base, è stato creato appositamente per il rilevamento e può fornire risultati immediati quando viene distribuito in un nuovo ambiente. Inoltre, le soluzioni XDR hanno ampie capacità di risposta, mentre le soluzioni SIEM sono di solo rilevamento.

Infine, sebbene le soluzioni XDR accettino una gamma di telemetria più ampia rispetto a EDR, non intendono essere soluzioni "send me anything" come i SIEM; un buon XDR si concentra su quelle fonti di dati che forniscono un chiaro valore per rilevare e indagare su attacchi gravi.

In poche parole, le soluzioni SIEM non sono progettate per estendere le capacità di "rilevamento e risposta" e le soluzioni XDR non sono progettate per sostituire le soluzioni SIEM.

Come accennato, EDR sta per Endpoint Detection and Response ed è una tecnologia che viene distribuita su tutti gli endpoint nella rete di un'organizzazione. In parole povere, il rilevamento di EDR funziona catturando eventi rilevanti per la sicurezza come esecuzioni di processi e connessioni di rete che si verificano sugli endpoint. Il set di dati risultante può essere analizzato al fine di rilevare comportamenti malevoli o insoliti, che possono quindi essere corretti utilizzando funzionalità di risposta come la chiusura del processo, l'eliminazione dei file o il blocco della rete.

A differenza di EPP, che è un livello preventivo automatizzato progettato per bloccare attività malevole evidenti, EDR è un'ultima linea di difesa che consente agli esperti umani di catturare e rimediare agli attacchi che aggirano i controlli preventivi, prima che possano causare danni reali.

Per una panoramica di alto livello delle principali funzionalità di rilevamento e risposta di EDR e del motivo per cui tutte le aziende necessitano di una soluzione di Endpoint Detection and Response, vedere il nostro articolo “I 7 motivi principali per cui ti serve una soluzione EDR”.

Per quanto riguarda le somiglianze, sia le soluzioni EDR che XDR utilizzano metodi di analisi comportamentale e threat intelligence per rilevare e rispondere alle minacce avanzate; in entrambe gli endpoint sono la fonte primaria di rilevamento.

Ciò consente loro di eseguire attività di sicurezza fondamentali come:

• Monitoraggio real-time – Entrambe le soluzioni EDR e XDR raccolgono e analizzano continuamente i dati per rilevare comportamenti insoliti o malevoli. Avere tutto in un "unico data lake" consente agli analisti della sicurezza informatica di eseguire monitoraggi e valutazioni in modo rapido e semplice.
• Avvisi e risposta – le sofisticate soluzioni EDR e XDR generano un numero ridotto di avvisi falsi positivi, evitando il sovraccarico nella generazione di alert e garantendo una risposta più rapida alle minacce gravi.
• Threat hunting e indagine proattivi – Entrambe le soluzioni EDR e XDR consentono agli analisti della sicurezza di andare oltre gli avvisi automatici e di cercare attività di attaccanti subdoli che non hanno attivato alcun avviso.

Le differenze tra specifiche soluzioni EDR e XDR variano. In alcuni casi, EDR è stato semplicemente rinominato XDR anche se non ci sono differenze sostanziali. Solo poche soluzioni XDR offrono un valore reale oltre a EDR, quindi è importante eseguire una due diligence dettagliata sulle capacità delle singole soluzioni.

Una buona soluzione XDR dovrebbe estendere le fonti di dati di telemetria e le integrazioni delle risposte alle aree in cui è più importante. La semplice acquisizione di più dati dall'infrastruttura di rete non si tradurrà necessariamente in una migliore capacità di rilevamento. Avrai bisogno della giusta telemetria disponibile per supportare la tua capacità di rilevare gli attacchi più comuni, nonché una capacità di risposta efficace per fermare tali attacchi.

Poiché la ricerca mostra che il 22% di tutte le violazioni riguardava il phishing (4), F-Secure può dimostrare come una soluzione XDR che combina EDR e funzionalità di sicurezza della posta elettronica possa rilevare e rispondere efficacemente agli attacchi di phishing:

Rilevando la compromissione iniziale di una workstation in target con una soluzione EDR.

Determinando che il vettore di infezione sia un’email di phishing.

Utilizzando i dati daccolti da una soluzione di sicurezza email per identificare altri utenti che hanno ricevuto la stessa email di phishing ma non l’hanno ancora aperta.

L’email può essere messa in quarantena prima che vengano attivate ulteriori infezioni.

Come mostra l’esempio sopra, ci sono tre differenze fondamentali tra EDR e XDR:

Secondo il rapporto Cost of a Data Breach (5) di Ponemon, due terzi delle aziende hanno subito una violazione dei dati nel 2020, comprese aziende multimilionarie con una sicurezza all'avanguardia. Pertanto, la prima cosa da tenere presente è che la semplice aggiunta di più strumenti o fonti di telemetria non ti rende insensibile a tutti i tipi di attacchi informatici. Nel peggiore dei casi, più strumenti comportano una maggiore complessità e rappresentano una distrazione dalla vera priorità della difesa del proprio ambiente.

Misure preventive robuste combinate con l'EDR ridurranno il rischio di una violazione, oltre a limitarne l'impatto, consentendo un rilevamento e una risposta rapidi agli attacchi.

Una volta che disponi di solide funzionalità di protezione degli endpoint e EDR e se il tuo team (o un fornitore di servizi) è già in grado di rispondere alle minacce identificate dagli endpoint, sei in una buona posizione per "estendere" il rilevamento e la risposta con XDR. Una soluzione di rilevamento e risposta estesa (XDR) fornirà una capacità più ampia rispetto alla sola EDR, consentendoti così di difendere la tua organizzazione da ulteriori vettori di attacco e di affrontare le intrusioni in modo più efficiente. Fai attenzione ai fornitori che cercano di accoppiare tecnologia di sicurezza legacy on-premise come firewall e gateway di sicurezza email con EDR, chiamandola "XDR"; queste tecnologie legacy sono state lasciate indietro per un motivo e qualsiasi soluzione XDR basata su di esse non riuscirà a fornire i vantaggi di una vera soluzione XDR integrata e cloud-native.

Infine, non dimenticare l'importanza della consapevolezza della sicurezza poiché la tecnologia non può sempre proteggere le persone dal cadere vittima di attacchi avanzati, come un attacco di phishing accuratamente predisposto. Tuttavia, la tecnologia giusta aiuterà, rilevando e rispondendo rapidamente agli attacchi e riducendo al minimo l'impatto sull'organizzazione.

Leggi l'articolo sulle 10 cose da considerare prima di acquistare una soluzione EDR per una lista di argomenti utili nella scelta di EDR e XDR.