Di Kj McCann, Rapid7
Man mano che ci avviciniamo alla chiusura del 2022, le discussioni nel mercato continuano a girare intorno alle soluzioni di extended detection and response (XDR). Quali sono? Quali sono i vantaggi? Il mio team dovrebbe adottare XDR e, in caso affermativo, come valutiamo i fornitori per determinare l’approccio migliore?
Sebbene sul mercato continuino a esserci molte definizioni diverse di XDR, i temi comuni attorno a questa tecnologia sono:
- Prodotti di sicurezza strettamente integrati che offrono funzionalità comuni di prevenzione, rilevamento e risposta agli incidenti
- Efficienze operative pronte all’uso che richiedono una personalizzazione minima
- Funzioni di orchestrazione della sicurezza e automazione per semplificare i processi ripetitivi e accelerare la risposta
- Rilevamento di alta qualità con un setup richiesto limitato
- Analisi avanzate in grado di correlare gli avvisi provenienti da più origini agli incidenti
In poche parole, XDR è un’evoluzione dell’ecosistema di sicurezza al fine di fornire una sicurezza elevata e più forte per i team di sicurezza con risorse limitate.
XDR per il 2023
Perché XDR è la soluzione di sicurezza informatica preferita? Con una superficie di attacco in continua espansione e minacce diverse e complesse, i centri operativi di sicurezza (SOC) necessitano di maggiore visibilità e di una copertura più efficace delle minacce in tutto il loro ambiente, senza creare ulteriori sacche di dati in silos da soluzioni puntuali.
Uno studio del 2022 sui leader della sicurezza ha rilevato che il team di sicurezza medio ora gestisce 76 strumenti diversi, con un’espansione incontrollata guidata dalla necessità di stare al passo con l’adozione del cloud e i requisiti di lavoro a distanza. A causa della crescita esponenziale degli strumenti, i team di sicurezza dedicano più della metà del loro tempo alla produzione manuale di report, estraendo dati da più strumenti in silos. Una soluzione XDR offre vantaggi significativi in termini di efficienza operativa centralizzando tutti quei dati per formare un’immagine coerente del tuo ambiente.
XDR è la mossa giusta per la tua organizzazione?
Quando pianifichi la tua sicurezza per il prossimo anno, considera quali risultati vuoi ottenere nel 2023.
Prodotto di sicurezza e consolidamento dei fornitori
Per combattere la crescente complessità, i leader della sicurezza e del rischio sono alla ricerca di modi efficaci per consolidare il proprio stack di sicurezza, senza compromettere la capacità di rilevare le minacce su una superficie di attacco in crescita. In effetti, oggi il 75% dei professionisti della sicurezza sta perseguendo una strategia di consolidamento dei fornitori, rispetto al solo 29% di due anni fa. Un approccio XDR può essere un percorso efficace per ridurre al minimo il numero di strumenti che il tuo SOC deve gestire, pur continuando a riunire la telemetria critica per potenziare il rilevamento e la risposta. Per questo motivo, molti team stanno dando la priorità a XDR nel 2023 per guidare il loro movimento di consolidamento. Si prevede che entro la fine del 2027, XDR sarà utilizzato fino al 40% delle organizzazioni di utenti finali per ridurre il numero di fornitori di sicurezza esistenti.
Mentre esplori la priorità di XDR nel 2023, è importante ricordare che tutti gli XDR non sono creati uguali. Un approccio XDR ibrido può consentire di selezionare i migliori prodotti tra le categorie, ma richiederà comunque un’implementazione, una configurazione e una gestione continua significative per riunire questi prodotti (per non parlare dei rapporti con più fornitori e delle spese da affrontare). Un approccio XDR nativo offre una suite più inclusiva di funzionalità da un unico fornitore. Per i team con risorse limitate, un approccio nativo può essere superiore a quello ibrido poiché è probabile che ci sia meno lavoro per conto del cliente. Un XDR nativo fa gran parte del lavoro di consolidamento per te, mentre un XDR ibrido ti aiuta a consolidare.
Miglioramento dell’efficienza e della produttività delle operazioni di sicurezza
“Efficienza” è una grande promessa di XDR, ma può sembrare diversa per molti team. Come si misura l’efficienza oggi? Quali aree sono attualmente inefficienti e potrebbero essere rese più veloci o più facili? Comprendere questa linea di base e dove il tuo team sta perdendo tempo oggi ti aiuterà a sapere a cosa dare la priorità quando perseguirai una strategia XDR nel 2023.
Un potente XDR sostituisce gli strumenti e i processi esistenti con metodi di lavoro alternativi e più efficienti. Esempi di processi da valutare mentre esplori XDR:
- Ingestione di dati: man mano che la tua organizzazione cresce, vuoi essere sicuro che il tuo XDR possa crescere con essa. Le piattaforme XDR cloud-native saranno particolarmente forti in questa categoria, poiché avranno le basi elastiche necessarie per stare al passo con il tuo ambiente. Considera anche come aggiungere nuove origini eventi nel tempo. Questa può essere un’area critica per migliorare l’efficienza.
- Dashboard e report: il tuo team è attrezzato per creare e gestire query, report e dashboard personalizzati? La creazione e la distribuzione di report può richiedere molto tempo, soprattutto per i nuovi analisti. Se il tuo team non ha tempo per la creazione costante di dashboard, prendi in considerazione gli approcci XDR che offrono contenuti predefiniti ed esperienze più intuitive in grado di soddisfare questi casi d’uso.
- Rilevamenti: con una costante evoluzione degli attori e dei comportamenti delle minacce, è importante valutare se il tuo team ha il tempo di riunire l’intelligence sulle minacce e la creazione di regole di rilevamento necessarie per stare al passo con le minacce emergenti. Un XDR efficace può ridurre notevolmente o potenzialmente eliminare la necessità per il tuo team di creare e gestire manualmente le regole di rilevamento offrendo librerie di rilevamento integrate. È importante comprendere l’ampiezza e la fedeltà della libreria di rilevamenti offerta dal tuo fornitore e garantire che questo contenuto soddisfi le esigenze della tua organizzazione.
- Automazione: trovare il giusto equilibrio per il tuo SOC tra tecnologia ed esperienza umana consentirà agli analisti di applicare le proprie competenze e formazione in aree critiche senza dover svolgere attività ripetitive e banali in aggiunta. Poiché diverse soluzioni XDR offrono diverse istanze di automazione, dai la priorità ai flussi di lavoro che forniranno i maggiori vantaggi al tuo team. Alcuni casi d’uso di esempio potrebbero connettere i processi tra i tuoi team IT e di sicurezza, automatizzare la risposta agli incidenti a minacce comuni o ridurre le attività manuali o ripetitive.
Indagini e risposta accelerati
Sebbene le soluzioni XDR affermino di ospitare una varietà di funzionalità che possono accelerare il processo di indagine e risposta, è importante capire come funziona attualmente il tuo team. Inizia identificando il tuo tempo medio per rispondere (MTTR) al presente, quindi qual è il tuo obiettivo MTTR per il futuro. Una volta che lo hai definito, guarda indietro al modo in cui gli analisti attualmente indagano e rispondono agli attacchi e prendi nota di eventuali lacune di abilità o conoscenze, in modo da poter capire quali capacità aiuteranno meglio il tuo team. XDR mira a tracciare un quadro più completo del comportamento degli aggressori, in modo che i team di sicurezza possano analizzarlo e rispondere meglio.
Alcuni esempi di domande che possono creare i casi d’uso necessari per raggiungere il ROI target per il prossimo anno.
- Durante un’indagine, dove trascorre la maggior parte del tempo la tua squadra?
- Quali processi consolidati sono attualmente in atto per la risposta alle minacce?
- Quanto è adattabile la tua squadra di fronte a tecniche di minaccia nuove e sconosciute?
- Hai stabilito playbook per minacce specifiche? La tua squadra sa cosa fare quando queste si presenteranno?
Ancora una volta, avere una linea di base di dove si trova la tua organizzazione oggi ti aiuterà a definire obiettivi e requisiti più realistici per il futuro. Quando valuti i prodotti XDR, approfondisci il modo in cui accorceranno la finestra per il successo degli attaccanti e guideranno una risposta più efficace per il tuo team. Per un team con risorse limitate, potresti voler considerare in particolare come un approccio XDR può:
- Ridurre la quantità di disturbi di cui il tuo team ha bisogno e assicurati che gli analisti si concentrino sulle minacce prioritarie
- Ridurre il tempo per un’indagine efficace fornendo eventi, prove e informazioni rilevanti su un attacco specifico
- Fornire playbook efficaci che massimizzano l’autonomia per gli analisti, consentendo loro di rispondere alle minacce con sicurezza senza la necessità di intensificare o condurre indagini eccessive
- Fornire l’automazione con un clic che gli analisti possono sfruttare per accelerare una risposta dopo che hanno avuto accesso alla situazione
Sblocca il potenziale di XDR con Rapid7
Se tu e il tuo team date la priorità a XDR nel 2023, ci piacerebbe aiutarti. L’approccio XDR nativo di Rapid7 sblocca il rilevamento avanzato delle minacce e la risposta accelerata per i team con risorse limitate. Con una copertura della superficie di attacco a 360 gradi, i team hanno una visione sofisticata del panorama delle minacce interne ed esterne. Rapid7 Threat Intelligence and Detection Engineering cura una libreria sempre aggiornata di rilevamenti delle minacce, verificata sul campo dai nostri esperti MDR SOC per garantire avvisi ad alta fedeltà e attuabili. E con i playbook di risposta consigliati e i flussi di lavoro predefiniti, il tuo team sarà sempre pronto a rispondere alle minacce in modo rapido e sicuro.