Il termine XDR è stato coniato per la prima volta da Nik Zur in una conferenza del settore nel 2018. L'idea è che XDR porti il rilevamento e la risposta oltre l'endpoint, integrando EDR con componenti aggiuntivi come gateway di posta elettronica sicuri basati su cloud e soluzioni di gestione dell'identità e degli accessi (IAM – Identity and Access Management).
La necessità di XDR è guidata dalla richiesta di soluzioni di sicurezza integrate e olistiche. Secondo la ricerca di F-Secure, l'82% delle aziende desidera una soluzione di sicurezza informatica all-in-one (2). Forrester divide le soluzioni XDR in due categorie: ibride e native. Una piattaforma XDR ibrida integra dati e telemetria da soluzioni di terze parti, mentre una soluzione XDR nativa integra solo soluzioni del portafoglio dello stesso fornitore(3).
In questo senso, XDR non è realmente una nuova soluzione, ma l'unione di soluzioni esistenti che in precedenza non avevano funzionato in armonia quanto avrebbero dovuto. La teoria è che XDR consente a un'unica soluzione di fornire capacità di rilevamento avanzate tramite:
- Correlazione di telemetria da risorse multiple
- Utilizzo di un unico data lake per abilitare indagini efficienti
- Attivazione di una più ampia gamma di azioni di risposta rispetto al solo EDR.
La correlazione dei dati provenienti da diverse fonti viene eseguita con l'obiettivo di aiutare i professionisti della sicurezza a collegare indicatori di attacco (IOA – Indicators Of Attack) o indicatori di compromissione (IOC – Indicators Of Compromise) che potrebbero non emergere da soli, consentendo di catturare più facilmente gli attaccanti che altrimenti sarebbero passati inosservati.
Alcuni potrebbero pensare che l'archiviazione di eventi da più fonti di dati sia il compito di una soluzione SIEM (Security Information and Event Management). Le soluzioni SIEM sono progettate per l'archiviazione di log e per soddisfare i casi d'uso di rilevamento di base, spesso per soddisfare i requisiti di conformità, piuttosto che per il rilevamento di attacchi sofisticati. Le soluzioni SIEM richiedono inoltre molte risorse e spesso si rivelano difficili da gestire, soprattutto quando il numero di fonti di dati diventa molto elevato.
XDR, con EDR alla base, è stato creato appositamente per il rilevamento e può fornire risultati immediati quando viene distribuito in un nuovo ambiente. Inoltre, le soluzioni XDR hanno ampie capacità di risposta, mentre le soluzioni SIEM sono di solo rilevamento.
Infine, sebbene le soluzioni XDR accettino una gamma di telemetria più ampia rispetto a EDR, non intendono essere soluzioni "send me anything" come i SIEM; un buon XDR si concentra su quelle fonti di dati che forniscono un chiaro valore per rilevare e indagare su attacchi gravi.
In poche parole, le soluzioni SIEM non sono progettate per estendere le capacità di "rilevamento e risposta" e le soluzioni XDR non sono progettate per sostituire le soluzioni SIEM.