10 scenari d'uso Cisco per le funzionalità XDR

10 scenari d'uso Cisco per le funzionalità XDROver the past 10 years, our mission at Cisco Secure has been to develop, acquire and integrate a security portfolio that simplifies operations,...Contents

Scopo di questo eBook

In Cisco Secure abbiamo dedicato gli ultimi 10 anni a sviluppare, acquisire e integrare soluzioni di sicurezza con l'intento di semplificare le operazioni, accelerare il successo del team e proteggere gli obiettivi aziendali futuri. Gli altri fornitori hanno riconosciuto l'importanza di questo impegno e, a loro modo, hanno cercato di fare altrettanto. Il risultato di questo lavoro ha portato a soluzioni in grado di riunire su un'unica piattaforma gli strumenti di rilevamento e risposta con moltissimi vantaggi. Recentemente Gartner ha definito una nuova categoria di mercato per questa offerta, chiamata Extended Detection and Response (XDR). Come accade spesso nel settore della sicurezza, i fornitori hanno subito adottato questa terminologia per presentare i propri prodotti.

Qui le cose si fanno complicate. Per alcuni fornitori, l'XDR è solo una strategia di marketing per vendere soluzioni esistenti, per altri solo un modo per chiamare i loro prodotti. Se uno stesso termine viene usato in contesti diversi, può essere difficile per l'acquirente capire cosa significhi esattamente.

Cisco offre molte soluzioni e ha una visione omnicomprensiva della protezione. L'integrazione è un elemento essenziale della nostra piattaforma, offre automazione e visibilità reali su tutti i principali vettori di minacce e migliora l'efficacia riducendo contestualmente i tempi di risposta agli eventi di sicurezza.

Gee Rittenhouse,
SVP Cisco Security Group,
2019

Facciamo un po' di chiarezza sull'XDR.

Leggi per:

• Capire perché è necessario promuovere l'adozione dell'XDR
• Scoprire come Gartner definisce la categoria
• Scoprire come Cisco fornisce scenari d'uso XDR nelle proprie soluzioni
• Scoprire come iniziare un percorso XDR

Sommario

L'esigenza dell'XDR
Definizione di Gartner
La prospettiva Cisco
10 scenari d'uso XDR per migliori risultati nella sicurezza
Fasi successive

Gli obiettivi di sicurezza ti sembrano irraggiungibili, ma non dipende da te

Probabilmente anche per il tuo team della sicurezza poter rilevare le minacce e rispondere con efficacia sono obiettivi spesso illusori. Nonostante gli ingenti investimenti, i livelli di sicurezza non bastano mai. Le minacce sono sempre più sofisticate, il perimetro continua a espandersi, le modalità di lavoro cambiano e la resilienza operativa è diventata sempre più una priorità. Mentre la superficie di attacco aumenta, rilevare le minacce diventa più difficile e aumentano anche i tempi di permanenza, mettendo a repentaglio l'azienda.

Obiettivi della sicurezza

Integrare i dati e gli strumenti della sicurezza
Normalizzare i processi ed eliminare le attività che richiedono molto tempo
Permettere ai team di collaborare
Ridurre i tempi di rilevamento
Rendere i processi più veloci con l'automazione basata su playbook
Applicare regolarmente misure proattive
Rispettare coerentemente la conformità

Con la miriade di strumenti di sicurezza disponibili oggi, perché il modello non cambia? Perché tutte le soluzioni di sicurezza sono state progettate e realizzate autonomamente e non sono davvero integrate in modo nativo. Se per difendersi dalle moderne minacce è necessario un quadro completo di tutti i punti di controllo, un collage di soluzioni separate e non integrate semplicemente non funziona.

In genere per coordinare le molteplici soluzioni specifiche sono disponibili i servizi, ma i servizi sono costosi. Queste tecnologie che non comunicano tra loro impediscono di semplificare i processi della sicurezza e costringono a prendere decisioni in solitudine, senza poter visionare tutti i dati disponibili.

Cosa non va nelle soluzioni isolate?

I dati registrati dagli strumenti di sicurezza
sono analizzati in completo isolamento e non permettono di rilevare gli attacchi nascosti.
Gli avvisi vengono ordinati in base alla priorità in completo isolamento e riescono quindi a rilevare solo una piccola parte degli intenti malevoli.
I team della sicurezza rispondono in completo isolamento, spesso su un livello
alla volta e senza contesto o coordinamento adeguati.

In teoria, aggiungere a un ambiente di sicurezza un nuovo strumento SIEM (Security Information and Event Management) o SOAR (Security Orchestration, Automation, and Response) può offrire alcuni vantaggi, ad esempio analisi dei dati e automazione. Tuttavia, nella maggior parte dei casi, i team della sicurezza non hanno il tempo, le conoscenze o il personale per integrare le proprie capacità di rilevamento e risposta in tali strumenti e adeguarle opportunamente. E anche quando lo fanno, il nuovo livello di sicurezza aggiunto all'ambiente richiede molto lavoro di regolazione e messa a punto. Anche se utile in determinati contesti, l'integrazione ottenibile con gli strumenti SIEM o SOAR non è sufficiente a superare le incompatibilità tra le diverse soluzioni di sicurezza che impediscono di rilevare le minacce rapidamente e ridurre i tempi di risposta.

I team sono travolti dagli avvisi, impossibilitati a migliorare le metriche come il tempo medio di rilevamento, o MTTD (Mean Time To Detection), o il tempo medio di ripristino, o MTTR (Mean Time To Remediation), e costretti a ritagliarsi con fatica il tempo da dedicare ad altre attività importanti, come identificare le opportunità di automazione e ottimizzare le policy chiave.

Presentazione dell'XDR

Le soluzioni XDR sono state progettate per superare le difficoltà causate dall'avere troppi fornitori, troppa poca integrazione, troppo poco coordinamento e troppo poco tempo.

Secondo la definizione Gartner, Extended Detection and Response (XDR) è una piattaforma unificata per il rilevamento e la risposta agli incidenti di sicurezza in grado di raccogliere e correlare in modo automatico i dati provenienti da diverse soluzioni proprietarie. Le soluzioni XDR sono quindi in grado di funzionare con gli strumenti di rilevamento e risposta, normalizzano i diversi set di dati, eseguono analisi molto affidabili e coordinano le azioni in modo che sia possibile capire a fondo il problema e intervenire con rapidità ed efficacia.

L'efficacia del sistema XDR si basa su tre funzionalità principali:

Anzitutto, deve riunire su un'unica console i dati storici e in tempo reale degli eventi, con formati noti e comuni, e renderli disponibili per ricerche indicizzate veloci anche molto indietro nel tempo con risorse di archiviazione scalabili e ad alte prestazioni.

In secondo luogo, deve usare più tecniche di apprendimento automatico per analizzare la grande quantità di dati telemetrici provenienti da diversi prodotti al fine di rilevare le attività malevole.

Infine, deve offrire funzionalità di automazione per svolgere attività ripetitive e accelerare la risposta o persino migliorare in modo proattivo la protezione e la postura.

XDR o
SIEM/SOAR

Anche se simili a SIEM o SOAR, le soluzioni XDR
si distinguono per tre aspetti.

Primo, integrazione e preconfigurazione sono superiori e non richiedono messe a punto costose o laboriose.

Secondo, le soluzioni XDR si concentrano solo
sul rilevamento delle minacce e la risposta agli incidenti e offrono analisi più accurate.

Terzo, si basano in genere su architetture native del cloud e sono implementate velocemente.

In breve

Le soluzioni XDR permettono di gestire la sicurezza in modo efficiente ed efficace e, integrando le altre soluzioni, riducono il costo totale di proprietà. Queste caratteristiche le rendono davvero irrinunciabili in ogni azienda.

Non basta chiamarsi XDR

Anche se è facile capire cosa sia una piattaforma di rilevamento e risposta unificata, la sua realizzazione non è altrettanto scontata. Secondo Gartner, per essere efficace la piattaforma XDR deve saper unificare i set di dati in modo significativo. Troppo spesso le soluzioni di sicurezza sono isolate e mancano di API, database compatibili e funzioni di normalizzazione dei dati, anche quando prodotte da un unico fornitore. Anche se le API stanno migliorando, comprendere i diversi set di dati e trovare la giusta sintassi che permetta di avere una visibilità unificata dell'intero ambiente richiede moltissimo lavoro.

In altre parole, l'XDR non è una soluzione che ammette approssimazioni e che possa essere realizzata alla buona. Eppure è proprio quello che molti fornitori stanno facendo. Molti fornitori che vendono soluzioni Network Detection and Response (NDR) o Endpoint Detection and Response (EDR) autonome stanno formando "partnership" per offrire l'XDR. Ma queste partnership hanno integrazioni deboli e non native e le soluzioni offerte non sono in grado di mantenere le promesse iniziali.