Confronto soluzioni XDR vs EDR – Principali similitudini e differenze

L'impatto globale della pandemia è stato enorme e in tutte le aree geografiche è cresciuta l’adozione di moderne soluzioni di sicurezza degli endpoint basate su cloud. Si prevede che questa domanda continuerà a crescere a un ritmo rapido poiché le organizzazioni stanno investendo in nuove tecnologie per proteggersi meglio dalla minaccia di ransomware e altri attacchi informatici più sofisticati.

La difesa degli endpoint (ovvero workstation, dispositivi mobili e server) è un componente chiave della strategia di sicurezza nelle organizzazioni di tutte le dimensioni. La difesa degli endpoint in genere comprende una combinazione di soluzioni di Endpoint Protection (EPP) e Endpoint Detection & Response (EDR). Molte aziende sono passate a questo tipo di configurazione come evoluzione naturale del tradizionale software antivirus on-premise e come risposta all'aumento del volume di minacce avanzate che devono affrontare. Gartner® prevede: "Entro la fine del 2025, oltre il 60% delle aziende avrà sostituito i vecchi prodotti antivirus con soluzioni EPP ed EDR combinate che integrano la prevenzione con capacità di rilevamento e risposta"  (1).

Quindi, che dire di XDR (Extended Detection and Response)? È questa la prossima generazione di sicurezza degli endpoint che alla fine sostituirà le combinazioni EDR + EPP nello stesso modo in cui queste hanno sostituito i precedenti software antivirus? O è solo un modo in cui i fornitori promuovono la stessa vecchia tecnologia con un nuovo impressionante acronimo?

Che cos’è XDR?

Il termine XDR è stato coniato per la prima volta da Nik Zur in una conferenza del settore nel 2018. L'idea è che XDR porti il ​​rilevamento e la risposta oltre l'endpoint, integrando EDR con componenti aggiuntivi come gateway di posta elettronica sicuri basati su cloud e soluzioni di gestione dell'identità e degli accessi (IAM – Identity and Access Management).

La necessità di XDR è guidata dalla richiesta di soluzioni di sicurezza integrate e olistiche. Secondo la ricerca di F-Secure, l'82% delle aziende desidera una soluzione di sicurezza informatica all-in-one  (2). Forrester divide le soluzioni XDR in due categorie: ibride e native. Una piattaforma XDR ibrida integra dati e telemetria da soluzioni di terze parti, mentre una soluzione XDR nativa integra solo soluzioni del portafoglio dello stesso fornitore(3).

In questo senso, XDR non è realmente una nuova soluzione, ma l'unione di soluzioni esistenti che in precedenza non avevano funzionato in armonia quanto avrebbero dovuto. La teoria è che XDR consente a un'unica soluzione di fornire capacità di rilevamento avanzate tramite:

  1. Correlazione di telemetria da risorse multiple
  2. Utilizzo di un unico data lake per abilitare indagini efficienti
  3. Attivazione di una più ampia gamma di azioni di risposta rispetto al solo EDR.

La correlazione dei dati provenienti da diverse fonti viene eseguita con l'obiettivo di aiutare i professionisti della sicurezza a collegare indicatori di attacco (IOA – Indicators Of Attack) o indicatori di compromissione (IOC – Indicators Of Compromise) che potrebbero non emergere da soli, consentendo di catturare più facilmente gli attaccanti che altrimenti sarebbero passati inosservati.

Alcuni potrebbero pensare che l'archiviazione di eventi da più fonti di dati sia il compito di una soluzione SIEM (Security Information and Event Management). Le soluzioni SIEM sono progettate per l'archiviazione di log e per soddisfare i casi d'uso di rilevamento di base, spesso per soddisfare i requisiti di conformità, piuttosto che per il rilevamento di attacchi sofisticati. Le soluzioni SIEM richiedono inoltre molte risorse e spesso si rivelano difficili da gestire, soprattutto quando il numero di fonti di dati diventa molto elevato.

XDR, con EDR alla base, è stato creato appositamente per il rilevamento e può fornire risultati immediati quando viene distribuito in un nuovo ambiente. Inoltre, le soluzioni XDR hanno ampie capacità di risposta, mentre le soluzioni SIEM sono di solo rilevamento.

Infine, sebbene le soluzioni XDR accettino una gamma di telemetria più ampia rispetto a EDR, non intendono essere soluzioni "send me anything" come i SIEM; un buon XDR si concentra su quelle fonti di dati che forniscono un chiaro valore per rilevare e indagare su attacchi gravi.

In poche parole, le soluzioni SIEM non sono progettate per estendere le capacità di "rilevamento e risposta" e le soluzioni XDR non sono progettate per sostituire le soluzioni SIEM.

Che cos’è EDR?

Come accennato, EDR sta per Endpoint Detection and Response ed è una tecnologia che viene distribuita su tutti gli endpoint nella rete di un'organizzazione. In parole povere, il rilevamento di EDR funziona catturando eventi rilevanti per la sicurezza come esecuzioni di processi e connessioni di rete che si verificano sugli endpoint. Il set di dati risultante può essere analizzato al fine di rilevare comportamenti malevoli o insoliti, che possono quindi essere corretti utilizzando funzionalità di risposta come la chiusura del processo, l'eliminazione dei file o il blocco della rete.

A differenza di EPP, che è un livello preventivo automatizzato progettato per bloccare attività malevole evidenti, EDR è un'ultima linea di difesa che consente agli esperti umani di catturare e rimediare agli attacchi che aggirano i controlli preventivi, prima che possano causare danni reali.

Per una panoramica di alto livello delle principali funzionalità di rilevamento e risposta di EDR e del motivo per cui tutte le aziende necessitano di una soluzione di Endpoint Detection and Response, vedere il nostro articolo “I 7 motivi principali per cui ti serve una soluzione EDR”.

Similitudini e differenze tra EDR e XDR

Per quanto riguarda le somiglianze, sia le soluzioni EDR che XDR utilizzano metodi di analisi comportamentale e threat intelligence per rilevare e rispondere alle minacce avanzate; in entrambe gli endpoint sono la fonte primaria di rilevamento.

Ciò consente loro di eseguire attività di sicurezza fondamentali come:

  • Monitoraggio real-time – Entrambe le soluzioni EDR e XDR raccolgono e analizzano continuamente i dati per rilevare comportamenti insoliti o malevoli. Avere tutto in un "unico data lake" consente agli analisti della sicurezza informatica di eseguire monitoraggi e valutazioni in modo rapido e semplice.
  • Avvisi e risposta – le sofisticate soluzioni EDR e XDR generano un numero ridotto di avvisi falsi positivi, evitando il sovraccarico nella generazione di alert e garantendo una risposta più rapida alle minacce gravi.
  • Threat hunting e indagine proattivi – Entrambe le soluzioni EDR e XDR consentono agli analisti della sicurezza di andare oltre gli avvisi automatici e di cercare attività di attaccanti subdoli che non hanno attivato alcun avviso.

Le differenze tra specifiche soluzioni EDR e XDR variano. In alcuni casi, EDR è stato semplicemente rinominato XDR anche se non ci sono differenze sostanziali. Solo poche soluzioni XDR offrono un valore reale oltre a EDR, quindi è importante eseguire una due diligence dettagliata sulle capacità delle singole soluzioni.

Una buona soluzione XDR dovrebbe estendere le fonti di dati di telemetria e le integrazioni delle risposte alle aree in cui è più importante. La semplice acquisizione di più dati dall'infrastruttura di rete non si tradurrà necessariamente in una migliore capacità di rilevamento. Avrai bisogno della giusta telemetria disponibile per supportare la tua capacità di rilevare gli attacchi più comuni, nonché una capacità di risposta efficace per fermare tali attacchi.

Poiché la ricerca mostra che il 22% di tutte le violazioni riguardava il phishing (4), F-Secure può dimostrare come una soluzione XDR che combina EDR e funzionalità di sicurezza della posta elettronica possa rilevare e rispondere efficacemente agli attacchi di phishing:

    Rilevando la compromissione iniziale di una workstation in target con una soluzione EDR.

    Determinando che il vettore di infezione sia un’email di phishing.

    Utilizzando i dati daccolti da una soluzione di sicurezza email per identificare altri utenti che hanno ricevuto la stessa email di phishing ma non l’hanno ancora aperta.

    L’email può essere messa in quarantena prima che vengano attivate ulteriori infezioni.

Come mostra l’esempio sopra, ci sono tre differenze fondamentali tra EDR e XDR:

  EDR XDR
Copertura della soluzione L’Endpoint detection and response (EDR) usa sensori o agent sugli endpoint. Tipicamente, l’EDR lavora in maniera trasparente con la protezione endpoint (EPP) come un’altra soluzione focalizzata sull’endpoint. XDR mira a unificare le capacità di rilevamento e risposta su più fonti di telemetria, non solo sugli endpoint. Negli ambienti IT moderni, le email e le identità sono le più preziose da coprire.
Copertura della telemetria EDR si concentra esclusivamente sugli endpoint come la più ricca fonte di telemetria e non si occupa di altre fonti. XDR mira ad utilizzare telemetria da più fonti, renderla disponibile in un "data lake" basato su cloud e correlarla per una visibilità più ampia che va oltre gil endpoint.
Copertura della risposta EDR consente l'indagine e la risposta in remoto per bloccare gli attacchi identificati sull'endpoint che non erano già stati bloccati da EPP. XDR mira ad estendere la risposta oltre gli endpoint e, in definitiva, ad automatizzare le attività di indagine e risposta, come nell'esempio di phishing sopra.

Qual è la soluzione di detection and response giusta per te?

Secondo il rapporto Cost of a Data Breach (5) di Ponemon, due terzi delle aziende hanno subito una violazione dei dati nel 2020, comprese aziende multimilionarie con una sicurezza all'avanguardia. Pertanto, la prima cosa da tenere presente è che la semplice aggiunta di più strumenti o fonti di telemetria non ti rende insensibile a tutti i tipi di attacchi informatici. Nel peggiore dei casi, più strumenti comportano una maggiore complessità e rappresentano una distrazione dalla vera priorità della difesa del proprio ambiente.

Misure preventive robuste combinate con l'EDR ridurranno il rischio di una violazione, oltre a limitarne l'impatto, consentendo un rilevamento e una risposta rapidi agli attacchi.

Una volta che disponi di solide funzionalità di protezione degli endpoint e EDR e se il tuo team (o un fornitore di servizi) è già in grado di rispondere alle minacce identificate dagli endpoint, sei in una buona posizione per "estendere" il rilevamento e la risposta con XDR. Una soluzione di rilevamento e risposta estesa (XDR) fornirà una capacità più ampia rispetto alla sola EDR, consentendoti così di difendere la tua organizzazione da ulteriori vettori di attacco e di affrontare le intrusioni in modo più efficiente. Fai attenzione ai fornitori che cercano di accoppiare tecnologia di sicurezza legacy on-premise come firewall e gateway di sicurezza email con EDR, chiamandola "XDR"; queste tecnologie legacy sono state lasciate indietro per un motivo e qualsiasi soluzione XDR basata su di esse non riuscirà a fornire i vantaggi di una vera soluzione XDR integrata e cloud-native.

Infine, non dimenticare l'importanza della consapevolezza della sicurezza poiché la tecnologia non può sempre proteggere le persone dal cadere vittima di attacchi avanzati, come un attacco di phishing accuratamente predisposto. Tuttavia, la tecnologia giusta aiuterà, rilevando e rispondendo rapidamente agli attacchi e riducendo al minimo l'impatto sull'organizzazione.

Leggi il nostro articolo sulle 10 cose da considerare prima di acquistare una soluzione EDR per una lista di argomenti utili nella scelta di EDR e XDR.

Referenze

[1] Gartner, Competitive Landscape: Endpoint Protection Platforms, Rustam Malik, 18 Feb 2021. GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission.
[2] F-Secure Global B2B Market Research survey of 2750 IT/Network Security decision makers and influencers, 2020.
[3] Forrester, Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR, Allie Mellen, 28 April 2021.
[4] Verizon, Data Breach Investigations Report, 2020.
[5] Ponemon, IBM, Global Cost of a Data Breach Study, 2020.