InsightIDR era XDR prima ancora che ci fosse l’XDR: storia dell’origine

Una storia dell’origine aiuta a spiegare chi sei e perché.

Rapid7 ha iniziato a creare InsightIDR nel 2013. È stato l’anno in cui l’epica violazione dei dati di Yahoo ha rivelato i nomi, le date di nascita, le password e le domande e risposte di sicurezza di 3 miliardi di utenti.

A quel tempo, i professionisti della sicurezza volevano semplicemente i dati. Se qualcuno avesse potuto semplicemente raccoglierli tutti, loro sarebbero partiti da lì. Quindi il mercato si è concentrato su grandi quantità di dati (data first), la maggior parte rumorosi e inutili.
Rapid7 ha scelto un percorso e un approcciodiverso: prima i rilevamenti (detection first).

Abbiamo studiato come i criminali hanno attaccato le reti e abbiamo capito di cosa avevamo bisogno per trovarli (anche grazie ai nostri amici del progetto Metasploit). Quindi abbiamo scritto e testato questi rilevamenti, assemblato una libreria e consentito agli utenti di adattare i rilevamenti ai propri ambienti. Sembra così facile ora, in questo breve paragrafo, ma ovviamente allora non lo era.

Alla fine, nel 2015, ci siamo incontrati con gli analisti del settore subito prima del lancio. Le domande sono state numerose.

“Lo chiamate InsightIDR? Che cosa significa IDR?”

Incident. Detection. Response.

Ed è allora che sono iniziate le obiezioni. È andata più o meno così: “Incident Detection and Response è una categoria di mercato, non un prodotto! Servono 10 prodotti diversi per farlo davvero! l’obiettivo è troppo ampio! State cercando di fare troppo!”

E poi il colpo di grazia: “Il nome del prodotto è stupido”.

InsightIDR ha avuto un inizio cupo ma anche fantastico

Quando stai cercando di essere dirompente, la cosa più spaventosa è la tranquilla indifferenza. Qualsiasi grande reazione è ottima, anche se vieni interpretato. Quindi abbiamo pensato che forse avevamo qualcosa di importante da dire.

A quel tempo, i lavoratori moderni stavano seminando molti modi per essere trovati online: LinkedIn, Facebook, Gmail. Gli aggressori li hanno trovati. Siamo diventati tutti bersagli. Nel 2016 sono stati acquisiti 4 miliardi di dati, quasi tutti a causa di password rubate o deboli e intuibili. Naturalmente, gli intrusi mascherati da dipendenti non sono stati catturati dal monitoraggio tradizionale. Sebbene sia una buona idea impostare la politica delle password e formare i dipendenti sull’igiene della sicurezza, abbiamo deciso di studiare la natura umana piuttosto che provare a cambiarla.

Al centro di ciò che stavamo facendo c’era un nuovo modo di tracciare l’attività e condensare i dati rumorosi in eventi significativi. Con User and Entity Behavior Analytics (UEBA), InsightIDR basa continuamente il comportamento “normale” degli utenti in modo da individuare rapidamente anomalie, rischi e, in definitiva, comportamenti dannosi, aiutandoti a interrompere la catena di attacco.

Ma UEBA è solo una parte di una piattaforma di Detection and Response. Quindi abbiamo aggiunto funzionalità SIEM tradizionali come la nostra tecnologia proprietaria data lake (che ci ha permesso di evitare una politica di prezzi basati sulla quantità di dati – questa affligge il mercato), il monitoraggio dell’integrità dei file e dashboard e report di conformità.

Abbiamo anche aggiunto alcune funzionalità non così tradizionali come l’analisi del comportamento degli aggressori e il rilevamento e la risposta degli endpoint. L’EDR era arrivato a un punto morto. I fornitori di EDR continuano a concentrarsi sulla raccolta dei dati degli agenti. Ma abbiamo deciso anni fa che l’ingegneria del rilevamento e la cura – concentrandoci sul male – sono il modo giusto di fare EDR.

Si scopre che InsightIDR non stava facendo “troppo” – stava facendo XDR

Nel 2017 abbiamo aggiunto l’orchestrazione della sicurezza e l’automazione alla piattaforma Insight. XDR è incentrato sull’efficienza dell’analista e per questo è necessaria sempre più automazione. Successivamente, il nostro sensore di rete e le funzionalità SOAR complete hanno alleggerito ulteriormente gli analisti. La triade della visibilità è stata presto completata quando abbiamo aggiunto il rilevamento e la risposta della rete.

Qualche tempo l’anno successivo, il fondatore e CTO di Palo Alto Networks coniò l’acronimo “XDR” per spiegare la “sinfonia” che richiederebbe una grande sicurezza informatica. (almeno ora avevamo un nome per questo.)

Poi, nel 2021, sono successe tre cose.

In primo luogo, Rapid7 ha acquisito Velociraptor, una piattaforma open source incentrata sul monitoraggio degli endpoint, sull’analisi forense digitale e sulla risposta agli incidenti. (Ci impegniamo per l’open source dal 2009, quando abbiamo acquisito Metasploit, ora la rete di test di penetrazione più utilizzata al mondo con una community di 300.000 collaboratori.)

In secondo luogo, con i perimetri così estesi da rompersi, abbiamo acquisito IntSights. I clienti ora beneficiano di informazioni sulle minacce interne ed esterne senza rivali, che coprono il web chiaro, profondo e oscuro. Confronteremo gli avvisi ad alta fedeltà e il rapporto segnale/rumore di InsightIDR con quelli di chiunque altro.

Infine, XDR è diventato l’argomento al centro dell’attenzione. Seriamente, non passa giorno o conferenza che non veda il dibattito sull’esatta definizione di XDR, la speculazione che sia più pettegolezzo che buona tecnologia e la preoccupazione che XDR possa spostarsi molto rapidamente attraverso il Gartner Hype Cycle fino al “Trough of Disillusionment”.

InsightIDR ti dà la libertà di concentrarti su ciò che conta di più

In un recente sondaggio tra i clienti del programma Rapid7 Voice (un gruppo che fornisce input mentre sviluppiamo nuove idee) il 42% ha affermato di utilizzare InsightIDR per ottenere risultati XDR in questo momento. Ho sentito uno dire che è sempre sorpreso dal dibattito alle conferenze e dice: ma non sai che puoi già fare queste cose? Io le faccio!

A proposito, sta lavorando completamente da solo, un one-man show per un’azienda globale quotata al NASDAQ nel settore sanitario (un obiettivo piuttosto caldo di questi tempi). XDR, giunto al suo quinto anno, può aiutare con il problema del divario di competenze del settore? Questo è per un altro blog.

Per ora, scarica il nostro eBook: ” 4 Modi in cui l’XDR fa salire di livello la sicurezza “.

È un rapido set di indicazioni che deriva da una lunga esperienza. Buona lettura.

> Articolo originale di Sam Adams

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI

L’autenticazione passwordless è sicura?

L’autenticazione passwordless è sicura?

Di Chris Collier, Technology Advocate for Identity and Access Management, HYPR Nonostante l'aumento degli investimenti per la sicurezza informatica, normative più severe e attività specifiche di formazione del personale, gli attacchi informatici continuano la loro...

7 suggerimenti per fermare gli hacker del Wi-Fi

7 suggerimenti per fermare gli hacker del Wi-Fi

La sicurezza perimetrale non è più sufficiente per le reti di oggi. Questo perché ci sono tanti modi per aggirare il tuo robusto firewall e semplicemente entrare dalla porta sul retro. Alcuni dei metodi utilizzati dagli hacker per aggirare le difese perimetrali...