Quali sono i vantaggi e quali caratteristiche devono avere le migliori piattaforme XDR?

La tecnologia eXtended Detection and Response (XDR) risponde alla necessità di nuovi livelli di aggregazione, correlazione e analisi della telemetria di sicurezza per proteggere una superficie di attacco sempre più diversificata e affrontare il panorama di minacce in continua evoluzione, che divengono più complesse da rilevare. Integrare le funzionalità XDR nell'infrastruttura di un'organizzazione significa avere la possibilità di analizzare e correlare gli eventi di sicurezza provenienti da diverse fonti e risorse per determinare quali attività sono in corso.

Nell’acronimo XDR (eXtended Detection and Response) la X sta per eXtended e sta ad indicare la compartecipazione di diverse tecnologie. XDR. In sostanza è la soluzione al problema della compartimentazione delle soluzioni di sicurezza in un’azienda. Spesso le aziende utilizzano diverse soluzioni di sicurezza performanti fine a se stesse, che agiscono cioè in silos, senza compartecipare le une con le altre all’interno dell’infrastruttura.

XDR coniuga tutte insieme le diverse soluzioni di sicurezza, facendole contribuire a un’intelligenza artificiale con la finalità di automatizzare e correlare l’evento, di aggregare tutta la telemetria delle tecnologie compartecipanti per mettere in atto soluzioni immediate grazie alla remediation automatica. Con XDR si semplifica quindi l’azione della risoluzione dei problemi, si aumenta la visibilità e l’efficacia e si migliora la scalabilità, così che la mia infrastruttura possa crescere sulla base delle mie esigenze. L’automazione delle policy di remediation porta anche a un risparmio di tempo e all’ottimizzazione delle risorse. Spesso le aziende hanno il problema di trovare persone esperte e qualificate in cybersecurity: con XDR si crea un ambiente automatizzato che fa risparmiare tempo e non richiede risorse altamente skillate.

Quali sono i vostri prodotti e le best practice più importanti per una difesa efficace?

Il mercato riconosce due movimenti per quanto riguarda l’XDR: il native XDR, incentrato su un unico vendor che propone tutte le soluzioni di sicurezza, e l’hybrid XDR, una sorta di standardizzazione aperta a un’integrazione fra diverse realtà. Quest’ultima è più difficile da realizzare. WatchGuard si concentra sul native XDR. La nostra proposta di sicurezza si focalizza su quattro ambiti tecnologici: network security, endpoint security, MFA, Wi-Fi security. La soluzione XDR proposta da WatchGuard presenta oggi 3 elementi: network security, endpoint security e la nostra infrastruttura di gestione, raccolta della telemetria e azione identificata con ThreatSync.

ThreatSync offre alle organizzazioni funzionalità XDR per centralizzare i rilevamenti tra diversi prodotti e orchestrare la risposta automatizzata alle minacce da un unico pannello di controllo. La correlazione era già presente nella prima versione di ThreatSync di WatchGuard: un motore basato su cloud che analizzava i dati degli eventi da Host Sensor e firewall Firebox per identificare comportamenti malevoli. Tuttavia, la vecchia soluzione Threat Detection and Response (TDR) utilizzava solo la telemetria degli endpoint per rilevare i file malevoli e rispondere alle azioni avviate nel cloud, correlando gli eventi di rete a singoli file e processi sull'endpoint. Ora, ThreatSync si è evoluto fino a diventare una soluzione XDR, integrando soluzioni di sicurezza degli endpoint e di rete in un'unica piattaforma, in grado di correlare le informazioni di rilevamento delle minacce da diversi livelli di protezione e orchestrare la risposta degli strumenti.

L'utilizzo di XDR offre grandi vantaggi anche ai fornitori di servizi gestiti (MSP) per quanto riguarda la protezione dei clienti. Ad esempio, la correlazione tra sicurezza di rete ed endpoint può fare la differenza in caso di minacce persistenti avanzate (APT). XDR è una soluzione perfetta per gli MSP che gestiscono piccole e medie imprese in quanto permette loro di incentivare le funzionalità di sicurezza in modo automatizzato e senza la necessità di esperti di sicurezza informatica. Migliora la visibilità, aumenta le capacità di rilevamento in scenari specifici e semplifica la risposta e la risoluzione degli attacchi.