Ripubblicato da Jeffery Stutzmann, CEO di Trusted Internet
“Il rilevamento e la risposta estesa è una piattaforma che integra, correla e contestualizza i dati e gli avvisi provenienti da molteplici componenti di prevenzione, rilevamento e risposta della sicurezza. XDR è una tecnologia cloud-based che comprende soluzioni multi-punto e analisi avanzate per correlare gli avvisi provenienti da più fonti agli incidenti, partendo da segnali individuali più deboli, per creare rilevazioni più accurate. Mira a ridurre la proliferazione dei prodotti, l'affaticamento da avvisi, le difficoltà di integrazione e i costi operativi, e si rivolge in particolare ai team addetti alle operazioni di sicurezza che hanno difficoltà a gestire un portafoglio di soluzioni best-of-breed o a ottenere valore da un SIEM o soluzione SOAR." (Gartner)
Gartner afferma inoltre che entro la fine del 2023, almeno il 30% di EDR and SIEM i fornitori affermeranno di fornire XDR, nonostante manchino di nucleo XDR funzionalità. Questo è assolutamente vero. Infatti, Crowdstrike, SentinalOne, CyberReason e altri hanno classificato le loro soluzioni endpoint come XDR.
Gartner ha anche fatto un paio di previsioni.
- Entro la fine del 2027, XDR verrà utilizzato fino al 40% delle organizzazioni di utenti finali per ridurre il numero di fornitori di sicurezza in uso, rispetto a meno del 5% attuale.
- Entro la fine del 2027, XDR e SASE verrà utilizzato fino al 50% delle organizzazioni di utenti finali per ridurre il numero di fornitori di servizi di sicurezza in uso, rispetto a meno del 5% attuale.
Credo che Gartner abbia sbagliato. Non credo che le previsioni di Gartner si avvereranno. Ecco perché.
- XDR non puoi contare su un agente, e i professionisti della sicurezza lo sanno. Lo riconoscono XDR è più che proteggere solo i sistemi con EDR o un agente installato. XDR va ben oltre.
- Completezza dell'EDR come XDR manca: La maggior parte degli MDR monitora firewall ed endpoint, flussi, autenticazione e forse un paio di altri. Vero XDR monitora ogni possibile punto dati, indipendentemente dal fatto che sia caricato o meno un agente.
Gartner ritiene che XDR e SASE RIDURRÀ il numero di tecnologie in un'organizzazione, quando in realtà credo che consoliderà e descriverà in modo più accurato il quadro, indipendentemente dalla tecnologia o dal numero di tecnologie utilizzate per ottenere il quadro più completo e accurato. XDR Non ridurrà il numero di venditori, ma ne integrerà di più, ognuno scelto perché al top della propria categoria. Saranno finiti i giorni in cui si era chiusi in un unico giardino recintato da mura di sicurezza.
Cinque anni fa, noi (Trusted Internet) abbiamo selezionato il nostro stack tecnologico dall'elenco dei primi cinque NSS Labs: firewall FortiGate, FortiClient e Sophos sull'endpoint, quindi ne abbiamo scelti altri in base ai nostri requisiti; Minerva's Armor, Sophos Intercept X e altri per completare il nostro stack tecnologico e il modello di consegna. Avevamo la nostra infrastruttura prescritta, ma non tutti volevano rimuovere i loro nuovissimi firewall Cisco Firepower. E che dire degli altri che hanno Palo Alto? Per un'azienda con più tecnologie, le correlazioni diventano quasi impossibili. Immagina la nostra posizione come il MSSP. Ogni azienda è unica in molti modi e ognuna di esse ha i propri requisiti di correlazione. Di conseguenza, abbiamo dovuto portarli nel nostro data lake, dove eseguiamo l'analisi di correlazione Tier 2 e 3 mediante ricerca manuale delle minacce. Siamo costretti a tentare di correlarli contro tutti (manualmente).
Oggi offriamo diversi XDR opzioni, Stellar, Sophos, Fortinet e presto, potenzialmente una seconda opzione in ApriXDROra possiamo utilizzare centinaia di integrazioni di fornitori e punti dati per identificare, tracciare e correlare le anomalie. Invece di estrarre e analizzare PCAP per ore, Each ci consente di collegare centinaia di punti dati nell'azienda, non solo log di sicurezza, ma qualsiasi log. Anche i log di sicurezza fisici possono essere inseriti in Open.XDRPuò essere correlato se può essere inserito nel data lake. E tutto questo avviene in un unico OpenXDR pannello di vetro. Gli analisti addestrano la macchina a riconoscere i modelli di vita per circa il primo mese, per garantire che vengano insegnati in modo accurato prima che l'intelligenza artificiale contribuisca a normalizzare le operazioni.
XDR non ridurrà il numero di venditori.
XDR consentirà di ampliare il campo di gioco a tutti i fornitori che vorrai connettere, tutti i migliori della categoria, eseguendo analisi di carichi pesanti e risposte automatizzate.
