Giacomo Lanzi
XDR come approccio alla sicurezza
Estimated reading time: 6 minuti
Proprio come qualsiasi altro campo IT, il mercato della cybersecurity è guidato dall’hype. Attualmente si fa hype verso l’XDR, ossia eXtended Detection and Response.
XDR è la novità per quello che concerne il rilevamento e alla risposta alle minacce, un elemento chiave della difesa dell’infrastruttura e dei dati di un’azienda.
Cos’è esattamente l’XDR?
XDR è un’alternativa ai tradizionali approcci reattivi che forniscono solo una layer visibility sugli attacchi. Mi riferisco a procedure come il rilevamento e la risposta degli endpoint (EDR), l’analisi del traffico di rete (NTA) e i SIEM, di cui abbiamo parlato in molti altri articoli.
La layer visibility implica che si adottino diversi servizi, stratificati (layer), che tengono sotto controllo ciascuno una specifica entità nell’infrastruttura. Questo può essere problematico. Infatti, bisogna assicurarsi che i livelli non finiscano isolati, rendendo difficile, o quasi impossibile gestire e visualizzare i dati. La layer visibility fornisce informazioni importanti, ma può anche portare a problemi, tra cui:
Collezionare troppi avvisi incompleti e senza contesto. L’EDR rileva solo il 26% dei vettori iniziali di attacco e a causa dell’elevato volume di avvisi di sicurezza, il 54% dei professionisti della sicurezza ignora gli avvisi che dovrebbero essere indagati.
Indagini complesse e dispendiose in termini di tempo che richiedono competenze specialistiche. Con l’EDR, il tempo medio per identificare una violazione è aumentato a 197 giorni, e il tempo medio per contenere una violazione è aumentato a 69 giorni.
Strumenti incentrati sulla tecnologia piuttosto che sull’utente o sul business. L’EDR si concentra sulle lacune tecnologiche piuttosto che sulle esigenze operative degli utenti e delle aziende. Con più di 40 strumenti utilizzati in un Security Operations Center (SOC) medio, il 23% dei team di sicurezza passa il tempo a mantenere e gestire gli strumenti di sicurezza piuttosto che eseguire indagini. (Fonte)
Per i team di sicurezza già sovraccarichi, il risultato può essere un flusso infinito di eventi, troppi strumenti e informazioni da alternare, tempi più lunghi per il rilevamento e spese per la sicurezza che superano il budget e non sono nemmeno pienamente efficaci.
La novità nell’eXtended Detection Response
XDR implementa un approccio proattivo al rilevamento delle minacce e alla risposta. Offre visibilità sui dati attraverso le reti, i cloud e gli endpoint, mentre applica l’analisi e l’automazione per affrontare le minacce sempre più sofisticate di oggi. I vantaggi dell’approccio XDR per i team di sicurezza sono molteplici:
Identificare le minacce nascoste, furtive e sofisticate in modo proattivo e rapido.
Tracciare le minacce attraverso qualsiasi fonte o posizione all’interno dell’organizzazione.
Aumentare la produttività delle persone che operano con la tecnologia.
Ottenere di più dai loro investimenti in sicurezza.
Concludere le indagini in modo più efficiente.
Dal punto di vista del business, XDR permette alle compagnie di individuare i cyber threat e fermare gli attacchi, oltre a semplificare e rafforzare i processi di sicurezza. Di conseguenza, consente alle aziende di servire meglio gli utenti e accelerare le iniziative di trasformazione digitale. Quando utenti, dati e applicazioni sono protetti, le aziende possono concentrarsi sulle priorità strategiche.
Perché considerarlo per la propria azienda
I due motivi principali per cui è vantaggioso questo tipo di approccio sono: gli endpoint non hanno visibilità sulle minacce in luoghi come i servizi cloud, inoltre, potrebbe non essere possibile mettere un software agent su tutti gli endpoint dell’azienda.
Ma ci sono anche altre motivazioni da considerare. L’aggiunta di altre fonti di dati può fornire maggiore contesto nei risultati dell’EDR, migliorando il triage e l’indagine degli avvisi. I provider si stanno movimentando non solo per fornire maggiori dati meglio organizzati, ma anche consegnando piattaforme di analisi per alleggerire il carico analitico sugli operatori. Questo si traduce in facilità d’uso e costi operativi ridotti.
L’XDR può sembrare molto attraente come prodotto: Integrazione stretta delle parti, contenuto altamente sintonizzato (poiché il fornitore ha il controllo totale sugli eventi dalle fonti di dati), uso di analitiche e automazione della risposta.
A cosa prestare attenzione prima dell’adozione
Alcuni provider stanno posizionando il loro XDR come la soluzione definitiva al rilevamento delle minacce. Tuttavia, molti fornitori non sono in grado di offrire tutti gli strumenti necessari per ottenere il vantaggio venduto. Alcuni provider offrono nel pacchetto il monitoring di endpoint e cloud, altri di endpoint e rete, ma se si esaminano le esigenze complete della maggior parte delle organizzazioni, ci sono spesso dettagli mancanti nell’immagine complessiva.
Se poi, una volta che l’azienda si impegna con un provider e nota una mancanza in uno dei settori monitorati, quali sono le possibili soluzioni? Si genera una situazione di vendor lock-in da cui svincolarsi significa recidere un contratto per poi aprirne un altro, con tutti i costi che ne conseguono.
L’XDR come un approccio, non come prodotto
Prima di sottoscrivere un contratto con un provider che vende un soluzione come definitiva, è sempre bene soppesare in modo analitico i vantaggi e le implicazioni.
L’integrazione stretta e bidirezionale di più capacità di rilevamento e risposta alle minacce è la prima caratteristica distintiva. Ma non è necessario acquistare due componenti tecnologici dallo stesso fornitore per ottenere una buona integrazione. Infatti, molti prodotti hanno la capacità di integrarsi con alcune soluzioni di altri fornitori come uno dei loro principali punti di forza.
L’approccio XDR deve fornire una piattaforma che consente la necessaria raccolta e conservazione dei dati, ma anche forti capacità di analisi, di orchestrare e automatizzare le azioni di risposta fornite dalle altre parti della soluzione. Un Next Generation SIEM cloud based è una soluzione perfetta.
Come muoversi dunque?
L’interesse per i prodotti XDR è un chiaro segnale che l’eccessiva frammentazione stava portando un’eccessiva complessità. Un po’ di consolidamento è un bene, ma deve essere fatto proteggendo la flessibilità e la capacità di seguire le soluzioni migliori.
Secondo noi, un SOCaaS è una soluzione ottimale. Fornisce un SIEM di nuova generazione, con forti capacità di analisi. Inoltre, integra anche un’intelligenza artificiale che aiuta nel riconoscere in tempo le minacce tramite l’analisi del comportamento. Un SOCaaS è il futuro delle piattaforme operative di sicurezza.
Per sapere con i nostri servizi possono aiutarti a proteggere i dati della tua azienda e dei tuoi clienti, contattaci, risponderemo volentieri a ogni tuo dubbio.
Useful links:
Condividi
RSS
Piu’ articoli…
- Da Secure Online Desktop a Cyberfero: il rebranding dell’azienda leader nella cybersecurity
- NIS2 – Come il nuovo regolamento cyber potenzia la sicurezza dell’Europa
- Advanced persistent threat (APT): cosa sono e come difendersi
- Penetration Testing e MFA: Una Strategia Duplice per Massimizzare la Sicurezza
- SOAR e l’automazione della sicurezza informatica
- Penetration Testing: Dove Colpire per Proteggere la Tua Rete Informatica
- Ransomware: una piaga che mette in ginocchio aziende e istituzioni. Pagare o non pagare? Ecco la risposta.
- Perché l’audit IT e il log management sono importanti per la Cybersecurity
Categorie …
- Backup as a Service (25)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (23)
- Conferenza Cloud (4)
- Cyberfero (15)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (21)
- ownCloud (7)
- Privacy (8)
- Security (215)
- Cyber Threat Intelligence (CTI) (9)
- Deception (4)
- Ethical Phishing (10)
- Netwrix Auditor (2)
- Penetration Test (18)
- Posture Guard (4)
- SOCaaS (66)
- Vulnerabilita' (83)
- Web Hosting (16)
Tags
CSIRT
- Ivanti: rilevato sfruttamento in rete della CVE-2024-8190 relativa al prodotto Cloud Service Appliance
(AL01/240916/CSIRT-ITA) Settembre 16, 2024Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2024-8190 – già sanata dal vendor – che interessa la soluzione Cloud Service Appliance (CSA) di Ivanti, appliance di rete per la gestione e la protezione dei dispositivi aziendali connessi a Internet.
- La Settimana Cibernetica del 15 settembre 2024 Settembre 16, 2024Scarica il riepilogo delle notizie pubblicate dal CSIRT Italia dal 09 al 15 settembre 2024.
- Aggiornamenti per VMware Spring
(AL02/240913/CSIRT-ITA) Settembre 13, 2024Aggiornamenti di sicurezza VMware risolvono una vulnerabilità in Spring, noto framework open source per lo sviluppo di applicazioni Java. Tale vulnerabilità, qualora sfruttata, potrebbe permettere l’accesso ad informazioni sensibili presenti sui sistemi target.
- Vulnerabilità in prodotti Citrix
(AL01/240913/CSIRT-ITA) Settembre 13, 2024Rilevate 2 nuove vulnerabilità di sicurezza, di cui una con gravità “alta” che interessa il software Citrix Workspace
- Risolte vulnerabilità in prodotti Cisco
(AL03/240912/CSIRT-ITA) Settembre 12, 2024Aggiornamenti di sicurezza sanano 9 nuove vulnerabilità, di cui 7 con gravità “alta”, in alcuni prodotti Cisco.
- Risolta vulnerabilità in prodotti Cisco
(AL01/240829/CSIRT-ITA) Settembre 12, 2024Aggiornamenti di sicurezza Cisco sanano una vulnerabilità con gravità “alta” presente nel prodotto Cisco Nexus Switch. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato remoto di compromettere la disponibilità del servizio sui dispositivi target.
- Sanate vulnerabilità su GitLab CE/EE
(AL02/240912/CSIRT-ITA) Settembre 12, 2024Rilasciati aggiornamenti di sicurezza che risolvono alcune vulnerabilità, di cui una con gravità “critica” e tre con gravità “alta”, in GitLab Community Edition (CE) e Enterprise Edition (EE).
- Palo Alto Networks: risolte vulnerabilità in PAN-OS
(AL01/240912/CSIRT-ITA) Settembre 12, 2024Palo Alto Networks ha rilasciato aggiornamenti di sicurezza per risolvere molteplici vulnerabilità, di cui 1 con gravità “alta”, nel prodotto PAN-OS. Tale vulnerabilità potrebbe consentire a un utente malintenzionato il bypass delle misure di sicurezza ed eseguire codice arbitrario.
- Aggiornamenti Mensili Microsoft
(AL01/240911/CSIRT-ITA) Settembre 11, 2024Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 79 nuove vulnerabilità, di cui 4 di tipo 0-day.
- Vulnerabilità nei prodotti OwnCloud
(AL09/240911/CSIRT-ITA) Settembre 11, 2024Rilevate nuove vulnerabilità in OwnCloud, noto software di condivisione e collaborazione, di cui una con gravità “alta”.
darkreading
- Name That Toon: Tug of War Settembre 16, 2024Feeling creative? Submit your caption and our panel of experts will reward the winner with a $25 Amazon gift card.
- Cybersecurity & the 2024 US Elections Settembre 16, 2024While the 2024 election may see various cyber threats, existing security measures and coordination across all levels of government aim to minimize their impact.
- Cybersecurity Community Celebrates Documentary Premiere at Tampa Theatre Settembre 14, 2024
- South Korea Digital Forensics Market to Hit US $3.52B by 2031 Settembre 14, 2024
- Fortinet Confirms Customer Data Breach via Third Party Settembre 13, 2024The incident is a reminder why organizations need to pay attention to how they store and secure data in SaaS and cloud environments.
- Compliance Automation Pays Off for a Growing Company Settembre 13, 2024In this case study, a CISO helps a B2B marketing automation company straighten out its manual compliance process by automating it.
- Over a Third of Cyberattacks Result in Job Losses Settembre 13, 2024
- Malicious Actors Sow Discord With False Election Compromise Claims Settembre 13, 2024The FBI and CISA are warning citizens of attempts to convince voters that US election infrastructure has been compromised. (It hasn't been.)
- 99% of Business Leaders Have Concerns About the Trustworthiness of Internal Data Settembre 13, 2024
- Cloud-Native Network Security Up 17%, Hardware Down 2% Settembre 13, 2024
Full Disclosure
- CVE-2024-25286 - RedSys - A Cross-Site Request Forgery (CSRF) vulnerability was identified in the Authorization Method of 3DSecure 2.0 Settembre 12, 2024Posted by RUBEN LOPEZ HERRERA on Sep 11Product: 3DSecure 2.0 Manufacturer: Redsys Affected Version(s): 3DSecure 2.0 3DS Authorization Method Tested Version(s): 3DSecure 2.0 3DS Authorization Method Vulnerability Type: Cross-Site Request Forgery (CSRF) Risk Level: Medium Solution Status: Not yet fixed Manufacturer Notification: 2024-01-17 Solution Date: N/A Public Disclosure: 2024-09-17 CVE Reference: CVE-2024-25286 Overview: A Cross-Site […]
- CVE-2024-25285 - RedSys - 3DSecure 2.0 is vulnerable to form action hijacking Settembre 12, 2024Posted by RUBEN LOPEZ HERRERA on Sep 11Product: 3DSecure 2.0 Manufacturer: Redsys Affected Version(s): 3DSecure 2.0 3DS Method Authentication Tested Version(s): 3DSecure 2.0 3DS Method Authentication Vulnerability Type: Cross-Site Scripting (XSS) Risk Level: Medium Solution Status: Not yet fixed Manufacturer Notification: 2024-01-17 Solution Date: N/A Public Disclosure: 2024-09-17 CVE Reference: CVE-2024-25285 Overview: 3DSecure 2.0 is […]
- CVE-2024-25284 - RedSys - Multiple reflected Cross-Site Scripting (XSS) vulnerabilities in the 3DS Authorization Method of 3DSecure 2.0 Settembre 12, 2024Posted by RUBEN LOPEZ HERRERA on Sep 11Product: 3DSecure 2.0 Manufacturer: Redsys Affected Version(s): 3DSecure 2.0 3DS Authorization Method Tested Version(s): 3DSecure 2.0 3DS Authorization Method Vulnerability Type: Cross-Site Scripting (XSS) Risk Level: Medium Solution Status: Not yet fixed Manufacturer Notification: 2024-01-17 Solution Date: N/A Public Disclosure: 2024-09-17 CVE Reference: CVE-2024-25284 Overview: Multiple reflected Cross-Site […]
- CVE-2024-25283 - RedSys - Multiple reflected Cross-Site Scripting (XSS) vulnerabilities exist in the 3DS Authorization Challenge of 3DSecure 2.0 Settembre 12, 2024Posted by RUBEN LOPEZ HERRERA on Sep 11Product: 3DSecure 2.0 Manufacturer: Redsys Affected Version(s): 3DSecure 2.0 3DS Authorization Challenge Tested Version(s): 3DSecure 2.0 3DS Authorization Challenge Vulnerability Type: Cross-Site Scripting (XSS) Risk Level: Medium Solution Status: Not yet fixed Manufacturer Notification: 2024-01-17 Solution Date: N/A Public Disclosure: 2024-09-17 CVE Reference: CVE-2024-25283 Overview: Multiple reflected Cross-Site […]
- CVE-2024-25282 - RedSys - 3DSecure 2.0 is vulnerable to Cross-Site Scripting (XSS) in its 3DSMethod Authentication Settembre 12, 2024Posted by RUBEN LOPEZ HERRERA on Sep 11Product: 3DSecure 2.0 Manufacturer: Redsys Affected Version(s): 3DSecure 2.0 3DS Method Authentication Tested Version(s): 3DSecure 2.0 3DS Method Authentication Vulnerability Type: Cross-Site Scripting (XSS) Risk Level: Medium Solution Status: Not yet fixed Manufacturer Notification: 2024-01-17 Solution Date: N/A Public Disclosure: 2024-09-17 CVE Reference: CVE-2024-25282 Overview: 3DSecure 2.0 is […]
- KL-001-2024-012: VICIdial Authenticated Remote Code Execution Settembre 10, 2024Posted by KoreLogic Disclosures via Fulldisclosure on Sep 10KL-001-2024-012: VICIdial Authenticated Remote Code Execution Title: VICIdial Authenticated Remote Code Execution Advisory ID: KL-001-2024-012 Publication Date: 2024-09-10 Publication URL: https://korelogic.com/Resources/Advisories/KL-001-2024-012.txt 1. Vulnerability Details Affected Vendor: VICIdial Affected Product: VICIdial Affected Version: 2.14-917a Platform: GNU/Linux CWE Classification:...
- KL-001-2024-011: VICIdial Unauthenticated SQL Injection Settembre 10, 2024Posted by KoreLogic Disclosures via Fulldisclosure on Sep 10KL-001-2024-011: VICIdial Unauthenticated SQL Injection Title: VICIdial Unauthenticated SQL Injection Advisory ID: KL-001-2024-011 Publication Date: 2024-09-10 Publication URL: https://korelogic.com/Resources/Advisories/KL-001-2024-011.txt 1. Vulnerability Details Affected Vendor: VICIdial Affected Product: VICIdial Affected Version: 2.14-917a Platform: GNU/Linux CWE Classification: CWE-89:...
- OXAS-ADV-2024-0005: OX App Suite Security Advisory Settembre 10, 2024Posted by Martin Heiland via Fulldisclosure on Sep 09Dear subscribers, We're sharing our latest advisory with you and like to thank everyone who contributed in finding and solving those vulnerabilities. Feel free to join our bug bounty programs for OX App Suite, Dovecot and PowerDNS at YesWeHack. This advisory has also been published at https://documentation.open-xchange.com/appsuite/security/advisories/html/2024/oxas-adv-2024-0005.html. […]
- [SYSS-2024-030]: C-MOR Video Surveillance - OS Command Injection (CWE-78) Settembre 6, 2024Posted by Matthias Deeg via Fulldisclosure on Sep 05Advisory ID: SYSS-2024-030 Product: C-MOR Video Surveillance Manufacturer: za-internet GmbH Affected Version(s): 5.2401, 6.00PL01 Tested Version(s): 5.2401, 6.00PL01 Vulnerability Type: OS Command Injection (CWE-78) Risk Level: High Solution Status: Open Manufacturer Notification: 2024-04-05 Solution Date: - Public Disclosure: 2024-09-04...
- [SYSS-2024-029]: C-MOR Video Surveillance - Dependency on Vulnerable Third-Party Component (CWE-1395) Settembre 6, 2024Posted by Matthias Deeg via Fulldisclosure on Sep 05Advisory ID: SYSS-2024-029 Product: C-MOR Video Surveillance Manufacturer: za-internet GmbH Affected Version(s): 5.2401 Tested Version(s): 5.2401 Vulnerability Type: Dependency on Vulnerable Third-Party Component (CWE-1395) Use of Unmaintained Third Party Components (CWE-1104) Risk Level: High Solution Status: Fixed...
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Estimated reading time: 6 minutes L'impatto crescente delle minacce informatiche, su sistemi operativi privati op… https://t.co/FimxTS4o9G
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The growing impact of cyber threats, on private or corporate operating systems… https://t.co/y6G6RYA9n1
-
SecureOnlineDesktop
Tempo di lettura stimato: 6 minuti Today we are talking about the CTI update of our services. Data security is… https://t.co/YAZkn7iFqa
-
SecureOnlineDesktop
Estimated reading time: 6 minutes Il tema della sicurezza delle informazioni è di grande attualità in questo peri… https://t.co/tfve5Kzr09
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The issue of information security is very topical in this historical period ch… https://t.co/TP8gvdRcrF
Newsletter
{subscription_form_2}Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Da Secure Online Desktop a Cyberfero: il rebranding dell’azienda leader nella cybersecurity Maggio 6, 2024
- NIS2 – Come il nuovo regolamento cyber potenzia la sicurezza dell’Europa Aprile 22, 2024
- Advanced persistent threat (APT): cosa sono e come difendersi Aprile 17, 2024
- Penetration Testing e MFA: Una Strategia Duplice per Massimizzare la Sicurezza Aprile 15, 2024
- SOAR e l’automazione della sicurezza informatica Marzo 27, 2024
Recensioni Google
Ottima azienda, servizi molto utili, staff qualificato e competente. Raccomandata!leggi di più
Ottimo supportoleggi di più
E' un piacere poter collaborare con realtà di questo tipoleggi di più
Un ottimo fornitore.
Io personalmente ho parlato con l' Ing. Venuti, valore aggiunto indubbiamente.leggi di più
Contatti
© 2024 Cyberfero s.r.l. All Rights Reserved. Sede Legale: via Statuto 3 - 42121 Reggio Emilia (RE) – PEC [email protected] Cod. fiscale e P.IVA 03058120357 – R.E.A. 356650 Informativa Privacy - Certificazioni ISO