XDR: Detection e Response a 360°

Lo scenario attuale della cyber security è decisamente preoccupante. A causa della continua espansione della superficie d’attacco dei sistemi informatici e delle crescenti capacità tecniche e operative della criminalità informatica, il numero di violazioni è aumentato esponenzialmente.
Che fare? Molti fornitori di tecnologie di sicurezza stanno puntando su soluzioni che non siano rivoluzionarie ma evolutive, al fine di salvaguardare gli investimenti già effettuati dalle organizzazioni.
Uno dei concetti di cui si parla maggiormente negli ultimi mesi si chiama eXtended Detection and Response (XDR).

È opportuno specificare subito che XDR non è un prodotto, ma può piuttosto essere considerato una proposta architetturale. Per spiegare con chiarezza che cosa propone, è necessario accennare brevemente alla sua genesi, che si può ricondurre ad altri due concetti: l’Endpoint Protection Platform (EPP) e l’Endpoint Detection and Response (EDR). In questo caso parliamo di soluzioni che sono già presenti in un’ampia gamma di prodotti di sicurezza.

EPP è l’acronimo con il quale, da alcuni anni, molti fornitori di sicurezza hanno cercato di rispondere all’evidente vulnerabilità della maggior parte degli endpoint aziendali (PC, server, smartphone). Su di essi infatti le tradizionali soluzioni “antivirus” non erano più in grado di fronteggiare l’ampio spettro di attacchi che si verificavano. Inizialmente molti EPP hanno semplicemente integrato in unico pacchetto applicativo sistemi già esistenti. Ad esempio, la componente antimalware (aumentandone la capacità di analisi del comportamento degli applicativi), la protezione di rete del sistema (magari usando il firewall già presente) e aggiungendo capacità di analisi dell’integrità di file e configurazione e/o la possibilità di crittografare i dati più importanti presenti sulla piattaforma.

Si tratta quindi di soluzioni che propongono un modello di sicurezza essenzialmente preventivo, con capacità di response decisamente limitate. Questa polarizzazione delle capacità difensive ha mostrato recentemente tutti i suoi limiti, in particolare con l’evoluzione del malware e la diversificazione degli attacchi. Si pensi ad esempio agli attacchi fileless o quelli che sfruttano i tool di gestione già presenti sugli end-point (es: PowerShell), per non parlare della diffusione ormai epidemica degli attacchi con ransomware.

Si è arrivati così alla proposizione EDR (Endpoint Detection and Response), dove alle tecnologie EPP si affiancavano non solo robuste capacità di detection, ma anche la capacità di reagire (anche autonomamente), una volta individuata una possibile minaccia. Soluzioni come il Machine Learning e la Threat Intelligence sono state le tecnologie fondamentali per equipaggiare queste soluzioni con tali capacità, spesso integrate da tool di analisi forense ed estese capacità di tracing.

L’evoluzione successiva è derivata non solo dalla volontà di ampliare la visibilità su ambienti differenziati (cloud, network, ambienti server e serverless, ecc.), ma dall’oggettiva difficoltà nel gestire la grande quantità di informazioni che questi sistemi mettevano a disposizione.
Ecco quindi sorgere, in modo quasi naturale, l’idea di una soluzione di tipo eXtended Detection and Response (XDR), ovvero uno scenario nel quale tutte le informazioni e le capacità di risposta già descritte sono presenti in modo capillare in tutti (o quasi) i sistemi dell’ambiente IT da proteggere.

In sostanza, uno scenario nel quale vi sia la possibilità di acquisire, elaborare e gestire tutte le informazioni rilevanti per la threat detection e la response, da ogni elemento del proprio sistema IT, indipendentemente dal fatto che si tratti di endpoint, server, cloud, rete, infrastrutture ibride, sistemi remoti e agentless ecc. ecc.

Indispensabile ovviamente la presenza di un motore di analisi dati in grado non solo di estrarre le informazioni rilevanti, ma anche di orchestrarle e automatizzarne la gestione agli operatori.
I vantaggi attesi sono in teoria numerosi:

• Visibilità totale del proprio ambiente, e quindi minimizzazione della shadow IT;
• Risposta agli attacchi più veloce ed efficace (meno falsi positivi);
• Possibilità di eliminare i silos IT, i quali rendono difficile un pieno governo della sicurezza;
• Protezione dei nuovi ambienti come IoT, weareable, Distributed Ledger, ecc.

Si deve tuttavia notare che si tratta di una prospettiva simile a quella che si è sempre cercato di realizzare con l’accoppiata SIEM/SOAR. Quali sono le differenze rispetto a tali soluzioni?
In estrema sintesi, se si fa riferimento allo stato attuale della tecnologia, gli attuali SIEM mancano spesso della totale integrazione fra le varie componenti (gestione della risposta degli endpoint, capacità integrata di orchestrazione), che invece propone il modello XDR. Tipicamente i vendor cercano di compensare questa carenza con l’acquisizione di soluzioni verticali (in particolare SOAR) e con integrazioni via API.
Si deve inoltre sottolineare come molte delle proposte XDR puntino sull’acquisizione diretta delle informazioni dai vari sistemi (ovvero della “telemetria”), invece della raccolta dei log.

È importante però ricordare come la raccolta e conservazione dei log sia una funzione molto rilevante per gli aspetti di compliance e forensics. La rinuncia a questa caratteristica dovrebbe essere valutata molto attentamente, in termini di rapporto costo/beneficio, dai CSO/CISO.

Al momento in cui scriviamo (primo quadrimestre del 2021) il mercato XDR è ancora immaturo, in termini di proposizioni organiche. Solo alcune startup stanno lanciando dei prodotti/servizi completamente innovativi basati su questo concetto, mentre la grande maggioranza dei vendor, sia di SIEM che di tecnologie di sicurezza endpoint, hanno abbracciato con “entusiasmo” il nuovo paradigma, proponendone differenti implementazioni.

In considerazione di quanto esposto, si può concludere dicendo che XDR è sicuramente una risposta attuale e valida al panorama delle minacce informatiche che si sta affrontando. Tuttavia, la difficoltà principale risiede ancora una volta nella capacità di gestire in modo efficace una simile quantità di dati, sia pure distillata e organizzata dalle migliori tecnologie disponibili. È comunque altamente raccomandato valutare questa opportunità assieme ad un team di professionisti che abbia comprovata esperienza di assessment e gestione di SOC, essendo questa la realtà più vicina alla prospettiva di un utilizzo proficuo della proposta XDR.