Che cos'è l'XDR (Extended Detection Response)?

La combinazione di threat intelligence, automazione e machine learning offerta dall'XDR aiuta le aziende a ottimizzare le prestazioni del SOC e a rafforzare la loro capacità di trovare e affrontare i peggiori soggetti malintenzionati. La crescita nell’adozione dell’XDR è guidata dalla sua capacità di aiutare le organizzazioni ad affrontare due sfide di sicurezza critiche:

1. Rilevare e rispondere ai soggetti malintenzionati che cambiano continuamente tattica e sviluppano nuovi modi per aggirare i controlli tradizionali. Le minacce emergenti, sempre più sofisticate e furtive, sono diventate più difficili da rilevare dai tradizionali sistemi SIEM, creando così una maggiore necessità di controlli di rilevamento multi-tecnologia come l'XDR.

2. Assumere professionisti esperti e competenti in fatto di sicurezza in uno scenario di diffusa carenza di competenze in materia di sicurezza informatica, in particolare nel campo della caccia e dell'indagine alle minacce.

Non tutti i sistemi XDR sono uguali. Mentre alcuni sistemi XDR a stack singolo sono progettati per sostituire le soluzioni di sicurezza esistenti con una suite di prodotti proprietaria, le XDR ibride o aperte sono indipendenti dal fornitore e integrano le tecnologie esistenti. Se combinate con le soluzioni SIEM e SOAR, le soluzioni XDR ibride offrono alle aziende un meccanismo più solido di ricerca, rilevamento e risposta alle minacce, nonché prestazioni su larga scala, aiutandole a massimizzare i loro investimenti nella sicurezza.

Ad esempio, mentre i sistemi SIEM e le piattaforme SOAR richiedono lunghe implementazioni, codifica e programmazione aggiuntive da parte dei tecnici della sicurezza e una manutenzione pratica continua, l'XDR è tipicamente basata su SaaS, per cui le implementazioni e la gestione continua sono semplificate. Inoltre, l'XDR correla automaticamente la threat intelligence in tempo reale con i dati di sicurezza, alleggerendo gli ingegneri di qualsiasi programmazione pratica. L’XDR si integra con gli strumenti di sicurezza di terze parti e automatizza le risposte a ogni avviso, assicurando che nessun evento passi inosservato e mettendo a disposizione dei team di sicurezza le azioni da intraprendere per contrastare gli incidenti dannosi.

Ci sono diverse caratteristiche da cercare in una soluzione XDR per assicurarsi che supporti le migliori tecnologie, funzioni su larga scala e contribuisca a una potente posizione di difesa informatica:

• Indipendente dai controlli: si integra con più tecnologie e non richiede vincoli di fornitore
• Funzionalità di correlazione e rilevamento basate su macchina: consentono un'analisi più rapida di set di dati molto più grandi e riduce il numero di falsi positivi
• Modelli dei dati predefiniti: integra le informazioni sulle minacce e automatizza il rilevamento e la risposta senza che gli ingegneri del software debbano occuparsi di programmare o creare regole
• Integrazione con SIEM, SOAR e strumenti di gestione dei casi: invece di richiedere la sostituzione di questi prodotti, l'XDR consente alle aziende di massimizzare il valore dei loro investimenti
• Integrazione con la security validation: quando l’XDR e la security validation operano insieme, i team di sicurezza aziendale vengono continuamente informati dell’efficacia del proprio stack di sicurezza, dei punti deboli e delle azioni da intraprendere per colmare le lacune delle prestazioni

Mandiant Advantage soddisfa molte delle capacità di indagine e valutazione che le organizzazioni cercano da una XDR, ma non forniamo controlli di sicurezza o un repository SIEM/dati. Operiamo con le soluzioni già in tuo possesso per ottenere risultati e assicurarci di sfruttare l'intera gamma di vantaggi di un motore XDR.