XDR, Extended Detection and Response, molto più di un acronimo

La sfida della cybersecurity e il gap di professionisti

A cura di Massimiliano Galvagna, country manager di Vectra AI per l’Italia

E’ indubbio che i clienti siano gli esperti dei propri ambienti dal momento che ogni giorno sono impegnati nella battaglia della cybersecurity, valutando indicatori, alert e minacce e gestendone i relativi rischi. Questo è il motivo per cui molto prima che pensassimo di realizzare e portare sul mercato la Vectra AI platform, Hitesh Sheth, fondatore, presidente e CEO di Vectra AI, si è confrontato con alcuni dei principali clienti e partner.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Attraverso innumerevoli conversazioni, il team di sviluppo di Vectra AI ha così capito quali sono le priorità di CISO, leader dei SOC e analisti in ambito cyber, non solo dal punto di vista della tecnologia di sicurezza, ma approfondendo quali sono le aspettative verso un vendor di cybersecurity. La risposta è che non hanno bisogno di un semplice software o di una soluzione ma chiedono di poter risolvere i problemi in costante crescita causati dagli attacchi informatici, producendo risultati concreti e tempestivi.

In particolare, da quasi ogni conversazione con i clienti, emergono le stesse esigenze:

  • Vogliono essere consapevoli di ciò che sta accadendo nei loro ambienti ibridi
  • Vogliono concentrare tempo ed energie sulle minacce più importanti
  • Vogliono sviluppare e accrescere le proprie competenze e aiutare il team a fare lo stesso

Nessun cliente ha richiesto di poter disporre “di un sistema XDR, ovvero di una piattaforma Extended Detection and Response” ma è quello di cui tutti avrebbero bisogno. D’altronde, la realtà con cui le imprese si confrontano è caratterizzata da un ambiente di lavoro ibrido, destinato ad aumentare sempre di più, e di conseguenza da un’enorme superficie di attacco da tenere sotto controllo, composta da identità, cloud, applicazioni SaaS, reti, endpoint ed e-mail, etc. Inoltre, devono mitigare il rischio sull’intera superficie di attacco in modo rapido e su vasta scala.

Leggi anche:  L’avvento dei Digital Human, quando la tecnologia avvicina l’uomo agli umanoidi

E infatti la sintesi delle richieste che Vectra AI riceve è: “Abbiamo bisogno di un segnale integrato, preciso e veloce”.

Vectra AI ritiene che non sia importante il punto di partenza di implementazione di una strategia XDR, vale a dire dall’endpoint (EDR), dalla rete (NDR), dalle identità (ITDR) o dal cloud (CDR), ma occorre considerare con attenzione la tipologia degli alert che si ricevono, perché i team SOC si stanno scontrando con un paradigma di sicurezza che non è più sostenibile. Con i recenti progressi tecnologici nelle tattiche di attacco, come l’intelligenza artificiale (AI), la battaglia sta diventando ancora più sbilanciata, ovvero una violazione è solo questione di tempo.

Questa non è un’affermazione pessimistica, e tanto meno intimidatoria: il panorama delle minacce conferma da solo che gli aggressori stanno sfruttando le lacune anche nei sistemi di sicurezza più sofisticati, adattando tattiche, tecniche e procedure (TTP) in tempi sempre più rapidi e in accelerazione e, per di più, con approcci ibridi e sulle identità sempre più avanzati. In questo scenario, la capacità di difendere l’azienda dagli hacker diventa inevitabilmente ogni giorno più impegnativa.

È quindi necessario cambiare prospettiva e strategia difensiva: bisogna presumere che le violazioni si stiano verificando da qualche parte, e capire dove, quando o come bloccarle senza danni, interruzioni o perdita di dati. Tutto ciò pone però i SOC davanti a un dilemma: decidere su quali incidenti concentrarsi per primi, sperando che nessun attacco invisibile e irrisolto comporti un rischio maggiore per l’organizzazione.

Su questo fronte va aggiunto che poiché le nuove tecnologie non smetteranno mai di essere sviluppate e di essere adottate sia dai difensori sia dagli aggressori, aggiungendo ulteriori strumenti per affrontare queste nuove vulnerabilità, tutto ciò genera più anomalie, più avvisi e più alert a fronte di un tempo inferiore per gestirli. In altre parole, maggiore è la tecnologia e gli strumenti utilizzati dal team SOC, maggiore sarà, paradossalmente, il ritardo d’intervento e peggiori saranno i risultati.

Leggi anche:  Nexthink: innovazione dalle Alpi svizzere, una soluzione per un IT proattivo all'avanguardia

Un’amara realtà se non si sviluppa un adeguato sistema XDR che garantisca copertura, chiarezza e controllo. Per questo, Vectra AI ha valorizzato il proprio lavoro pionieristico nel campo dell’intelligenza artificiale per sviluppare la piattaforma XDR incentrandola su cosa desiderano i clienti, ovvero alert mirati e in tempo reale sull’intera superficie ibrida, per abilitare i team SOC a indagare e rispondere velocemente e su vasta scala alle minacce concrete.

Inoltre, è importante implementare un approccio XDR ma anche mantenerlo nel tempo e quindi innovare ed espandere continuamente le capacità XDR per superare le abilità degli hacker.

Questo requisito può essere raggiunto con strategie di autenticazione e autorizzazione incentrate sull’identità, abbinate a funzionalità di rilevamento e risposta alle minacce più efficaci tramite una piattaforma basata sull’AI in grado di:

  • Ottimizzare la copertura con un segnale di attacco integrato sull’intera superficie di attacco ibrida: email, SaaS, SASE, data center, IoT/OT, cloud pubblici, identità ed endpoint.
  • Massimizzare la chiarezza con un’Attack Signal Intelligence integrata basata sull’AI che pensa come un utente malintenzionato, sa cosa è dannoso e si concentra su ciò che è urgente per dare priorità agli attacchi in tempo reale.
  • Controllare con azioni di indagine e risposta gestite, integrate e automatizzate che consentono ai team SOC di muoversi alla velocità e alla portata degli aggressori ibridi.

Questi sono i pilastri della piattaforma Vectra AI in grado di garantire la promessa di XDR tramite un segnale integrato e basato sull’intelligenza artificiale con velocità e su vasta scala. Caratteristiche indispensabili in un’era caratterizzata da minacce informatiche in costante e rapida evoluzione.