Stormshield XDR: visibilità, monitoraggio e remediation
Stormshield XDR è un aggregatore di allarmi e informazioni provenienti dai sistemi di sicurezza presenti in azienda, per una visione unificata anche in ambienti eterogenei.
Per una protezione efficace, le aziende hanno bisogno di soluzioni in grado di correlare eventi, effettuare monitoraggio e remediation: l’architettura Stormshield XDR.
La tecnologia XDR, eXtended Detection and Response, si è sviluppata nel tempo come risposta all’aumento dei vettori di attacco verso endpoint, reti e cloud. Parliamo di una architettura che può essere considerata una diretta evoluzione della filosofia EDR (Endpoint Detection and Response). Quest’ultima è in grado di monitorare tutti gli endpoint, registrando ogni singola attività ed evento, mettendo poi in correlazione le informazioni raccolte per fornire un contesto critico capace di rilevare le minacce avanzate, eseguendo attività di risposta automatica, come per esempio, l’isolamento di un endpoint infetto.
XDR offre ulteriori opportunità di difesa e amplia la portata di intervento rispetto a soluzioni EDR, per fornire rilevamento, analisi e risposta non solo su endpoint, ma anche su reti, server, workload cloud, SIEM e molto altro. È così possibile raggiungere un importante obiettivo: una visione unificata e olistica su molteplici strumenti e vettori d’attacco.
In uno scenario in costante cambiamento, orientarsi verso l’adozione di una soluzione di rilevamento e risposta può risultare complesso. Spesso, l’ostacolo più grande è capire cosa offre ogni pacchetto, in particolar modo quando le terminologie variano da vendor a vendor con significati diversi. I clienti devono essere consapevoli di queste differenze poiché non tutte le soluzioni XDR sono uguali. Occorre individuare architetture capaci di unificare ed estendere la capacità di rilevamento e remediation su più livelli di sicurezza, fornendo ai team una visibilità centralizzata end-to-end, una potente analisi e una risposta automatizzata su tutto lo stack tecnologico dell’azienda.
Nonostante i vendor offrano approcci diversi, possiamo comunque notare delle analogie nella copertura funzionale fornita dalle rispettive soluzioni presenti sul mercato.
La prima caratteristica è data dalla molteplicità delle fonti di rilevamento (reti, postazioni di lavoro, server, utenti, ecc.) utilizzate per identificare i comportamenti anomali. Questa visione globale del sistema rende più facile comprendere la portata dei problemi legati alla sicurezza. Successivamente, tali soluzioni sono in grado di standardizzare i differenti set di dati per correlare le informazioni e segnalare eventuali incidenti.
Una soluzione XDR è in grado di correlare eventi, effettuare monitoraggio e remediation.
Le potenzialità dei sistemi XDR per imprese e MSSP
L’XDR garantisce alle aziende di tutte le dimensioni una risposta alle minacce più sofisticate, migliorando al contempo la loro efficienza operativa. Non solo, facilita la gestione di incidenti informatici orchestrando le azioni da intraprendere in modo da rispondere efficacemente alla minaccia. Queste attività garantiscono la segnalazione in tempo reale ai gruppi di sicurezza e l’isolamento delle postazioni di lavoro colpite, seguite dalle operazioni di ripristino necessarie.
XDR semplifica la protezione a tutto tondo e il lavoro dei security team, è adatto a ogni tipo di impresa e costituisce uno strumento potente per i SOC e gli MSSP.
Se l’azienda dispone di esperti di sicurezza, la tecnologia XDR consente di potenziare le attività di rilevamento e risposta alle minacce, riducendo il tempo richiesto per ogni singola attività e offrendo dati e insight per una efficace comprensione degli incidenti rilevati.
Non solo, nel tempo le soluzioni XDR sono state progressivamente perfezionate, ciò ha portato a una superiore qualità di rilevamento e gestione degli alert generati, oltre a una maggiore precisione delle azioni correttive proposte dal sistema. Questo si traduce in tempi di lavorazione inferiori per l’operatore e una potenziale riduzione degli investimenti da parte delle imprese.
Visibilità, monitoraggio e remediation
Nel caso in cui l’azienda non abbia al suo interno un team di persone formato per la gestione delle infrastrutture di cybersecurity, l’integrazione di una soluzione XDR dovrebbe essere affidata a un provider esterno, un MSSP.
I cosiddetti Managed Security Service Provider dispongono di un proprio SOC per elaborare gli eventi segnalati dall’infrastruttura del cliente e reagire per suo conto.
Si tratta di una soluzione indicata per le strutture più piccole, dove solitamente non è presente un amministratore con competenze specifiche di sicurezza. Non disponendo di adeguate risorse per internalizzare la protezione informatica (figure professionali specializzate in cybersecurity, oltre a investimenti in costose soluzioni), molte aziende decidono oggi di dare la sicurezza informatica in outsourcing.
Per questo si sta affermando sempre più il modello del MSSP, ovvero del fornitore di servizi di sicurezza informatica, che offre soluzioni gestite per la protezione dei dati e delle infrastrutture. Le competenze di un MSSP possono spaziare dalla IT tradizionale fino a tecnologie OT e IoT, elementi fondamentali in particolare quando si parla di aziende manifatturiere.
XDR, come funziona?
Come anticipato, una protezione XDR efficace consente di effettuare correlazione tra gli alert e assicura ai SOC piena visibilità delle attività di rete. Questo approccio va oltre il meccanismo “a silo”, tipico delle soluzioni di security puntuali per endpoint, network e IoT, e permette di individuare gli attacchi complessi, che possono attraversare i filtri di protezione senza essere rilevati. Non solo, riduce nettamente il volume di eventi da correlare manualmente, velocizzando le operation e i tempi di recupero.
XDR è in grado di automatizzare l’analisi e la correlazione dei log generati dalle varie soluzioni attive in azienda e può avvisare i team operativi in caso di incidenti di sicurezza. Grazie a specifiche funzioni mutuate dal mondo SIEM, è possibile indentificare le situazioni anomale tenendo conto di fattori diversi, su più livelli.
L’architettura eXtended Detection and Response apporta valore alle informazioni raccolte in rete e, dopo aver rilevato un’anomalia, è in grado di avviare una adeguata procedura in risposta all’attacco. Di fatto, oggi, l’aspettativa dei SOC è soprattutto quella di contenere le minacce più critiche, così da mitigarne l’impatto generale. Solo in questo modo è possibile bloccare vettori malevoli prima che si diffondano nella rete (per esempio: ransomware in fase di lateralizzazione o di furto di dati).
XDR permette dunque risposte automatizzate o semi-automatiche, in funzione del campo d’applicazione e del grado di criticità dell’ambiente aziendale. In aggiunta, grazie alle funzioni di pianificazione della risposta è possibile basarsi su schemi di risposta programmati, così da anticipare il maggior numero possibile di attività e snellire l’intero processo decisionale.
Una volta individuato e bloccato un potenziale attacco, una soluzione XDR è poi in grado di correggere errori e asset compromessi, avviando il processo di remediation per il ripristino granulare per poter raggiungere la piena operatività in poco tempo. Dopo un eventuale recovery, è poi possibile catturare e ripristinare tutto il contesto relativo all’incidente, un particolare che permette di intervenire su più livelli per rafforzare la sicurezza e prevenire attacchi futuri.
Visibilità, monitoraggio e remediation
Stormshield XDR protegge l’intero sistema informatico
Quale player di riferimento del segmento security, Stormshield propone la propria soluzione XDR, capace di ridurre i rischi informatici e aumentare la produttività degli analisti della sicurezza.
Grazie a una dashboardcentralizzata è possibile osservare lo stato operativo di ogni componente di rete. Ciò assicura un facile rilevamento e una rapida correlazione dei dati provenienti da diverse fonti. Forte di questi dati sempre aggiornati e delle funzionalità evolute della piattaforma, i security expert possono attivare rapidamente gli elementi di risposta più appropriati a seconda del contesto dell’incidente, avviando una efficace remediation.
Stormshield XDR fa, inoltre, da aggregatore di allarmi e informazioni provenienti dai sistemi di sicurezza presenti in azienda, per una visione unificata anche in ambienti eterogenei.
La società sviluppa e progetta, al fianco del cliente, l’architettura XDR per la protezione della rete e dei dispositivi, analizzando l’infrastruttura nel dettaglio e individuando le soluzioni migliori per incrementare sicurezza e performance. Stormshield XDR: rileva, orchestra e risponde.
Andrea Bettoni, ceo di S-Mart: lo strumento dei distributori per portare nuovi partner agli storage vendor è fondamentalmente uno: la sensibilizzazione del reseller.
Exclusive Networks fornirà a Chronicle l’accesso alla propria rete di partner e garantirà ai partner accesso alla piattaforma di security analytics di Chronicle.
Marco Fanizzi, VP e General Manager Emea, Sergio Feliziani, Country Manager Italia e Fausto Izzo, Sales Engineer Italia di Commvault hanno spiegato le strategie dell’azienda e le ultime tendenze del mercato.
