L'ascesa dell'Extended Detection and Response (XDR) è al tempo stesso una convalida e un'accusa per la tecnologia Security Information and Event Management (SIEM), la categoria di mercato dominante associata all'esecuzione di attività aggregate di rilevamento, indagine e risposta alle minacce.
È una convalida perché sottolinea la tesi centrale secondo cui l'aggregazione di più segnali lungo il ciclo di vita dell'attacco è fondamentalmente corretta. Ma è anche un'accusa perché l'emergere di una seconda categoria di mercato che risolve lo stesso problema ci fa capire l'inefficacia dell'approccio tradizionale.
È chiaro che il mercato ha manifestato un forte interesse, ma quanto delle promesse dell'XDR è solo un'illusione?
Gli acquirenti che vogliono sapere a cosa vanno incontro prima di invitare un partner al ballo XDR faranno bene a riconoscere che quasi tutti i fornitori dello spazio XDR provengono da un mercato adiacente, che porteranno con sé quando pianteranno la loro bandiera XDR.
Gli acquirenti devono essere consapevoli che i fornitori di XDR provengono da quattro aree principali.
SIEM e XDR: trasformazione o cambiamento estetico?
I fornitori di SIEM sono molto incentivati a ribattezzarsi come fornitori di XDR. Nel caso dei produttori più piccoli, che non hanno la quota di mercato dei grandi, si tratta di un'opportunità per passare alla nuova tendenza e riprovare.
Ma anche per gli operatori dominanti, il rebranding rispetto alla soluzione esistente inizia ad avere molto senso quando ci si rende conto che molte implementazioni SIEM sono solo costosi raccoglitori di log, non rilevatori di minacce.
L'incapacità di mantenere le promesse di rilevamento correlato delle minacce crea una sorta di albatross reputazionale e l'ascesa dell'XDR rappresenta un'opportunità per una nuova vita, soprattutto se il fornitore ha apportato miglioramenti sostanziali alla tecnologia sottostante.
Gli acquirenti che prendono in considerazione una soluzione XDR basata su SIEM devono valutare se qualcosa è cambiato radicalmente o se si tratta solo di una nuova verniciatura. Quando si intraprende la strada dell'XDR con un fornitore SIEM, si preferisce costruire piuttosto che acquistare.
Per gli acquirenti dotati di buone risorse, che possono permettersi gli ingenti costi di gestione di questa tecnologia o che hanno casi d'uso specifici lasciati scoperti da soluzioni più mirate, questa soluzione può essere ancora valida.
L'influenza dell'EDR nella XDR: espansione oltre i confini tradizionali
Considerando gli incentivi in gioco tra i fornitori di Endpoint Detection and Response (EDR) e gli analisti del settore, è comprensibile che la definizione di XDR come EDR++ abbia una certa presa.
Le stesse aziende EDR continuano a dover trovare crescita per soddisfare gli azionisti e squalificare la concorrenza nella fase dei requisiti rende più facile dividere la nuova torta. Nel frattempo, i gatekeeper degli analisti di settore hanno tutti quei venditori di SIEM nervosi da placare e la creazione di una categoria XDR potrebbe essere un mezzo temporaneo per mantenere la pace tra i campi EDR e SIEM.
Sebbene l'EDR fornisca un segnale utile per molte attività di rilevamento delle minacce tradizionali, il problema di dare troppa importanza all'EDR in qualsiasi approccio XDR diventa evidente se si considera che circa il 70% delle risorse e dei servizi aziendali non esegue un agente EDR. Se un'azienda ibrida moderna deve affrontare minacce al cloud, all'identità, alle applicazioni SaaS e persino alle reti OT/IoT, pretendere che tutte le violazioni comportino la compromissione di un endpoint abilitato all'EDR significa arrivare in ritardo di circa un decennio.
Gli acquirenti che scelgono una soluzione XDR basata sull'EDR devono considerare due aspetti: Le prestazioni dell'EDR in sé e l'aggregazione e la correlazione di altri segnali. Le buone prestazioni dell'EDR devono essere prioritarie, ma non devono escludere un trattamento convincente dell'intero ecosistema di segnali.
Se l'immagine che inizia a delinearsi è che un EDR e qualcosa che assomiglia a un SIEM sono stati appena avvitati insieme, il vostro senso di ragno dovrebbe formicolare e tutte le indicazioni precedenti per gli acquirenti di XDR basati su SIEM si applicano.
Soluzioni XDR basate sui servizi: L'elemento umano
Questi ragazzi hanno esaminato i risultati che l'XDR si proponeva di raggiungere e hanno affermato che se il prezzo è giusto, il fatto che questi risultati siano raggiunti dalla tecnologia o dalle persone è secondario.
Francamente, questo ha molto senso ed è uno dei motivi per cui per molti acquirenti una soluzione XDR può essere fornita come servizio gestito. Il problema è l'esecuzione, non la tesi.
Molti acquirenti ricorderanno il periodo in cui i loro Managed Security Solution Provider (MSSP) sono stati incentivati a trasformarsi in fornitori di Managed Detection and Response (MDR) da un giorno all'altro senza alcun miglioramento materiale della qualità del servizio.
Gli acquirenti che scelgono una soluzione XDR basata sui servizi, con un fornitore competente e a un costo interessante, possono avere molti vantaggi: i fornitori di servizi possono fare cose su scala che non sono sempre fattibili per un'organizzazione da sola.
Purtroppo, trovare un fornitore di servizi competente non è così semplice come controllare un quadrante magico e alcuni degli acquirenti che trovano interessanti le capacità di un fornitore di servizi, non hanno la maturità necessaria per misurare efficacemente la qualità dei risultati.
In questo caso, gli acquirenti dovrebbero passare all'attacco e chiedere ai loro fornitori di definire chiaramente come il rischio sarà mitigato in termini quantificabili e di implementare regolarmente dei red team senza preavviso come controllo incrociato.
L'approccio alla rete, all'identità e al Cloud per l'XDR
Infine, c'è una classe di fornitori il cui portafoglio di piattaforme includeva più segnali di rilevamento delle minacce e riconosceva che l'insieme era maggiore della somma delle sue parti.
Network Detection and Response (NDR), Cloud Detection and Response (CDR), Identity Threat Detection and Response (ITDR) e persino le aziende di Next-Gen Firewall (NGFW) con tecnologia Intrusion Detection System (IDS) possono contribuire con segnali di rilevamento delle minacce.
Questa categoria tende a contrastare in modo più netto con l'approccio basato sui SIEM tradizionali, in quanto questi fornitori tendono ad avere un rilevamento delle minacce costruito ad hoc, in cui i dati sottostanti e le analisi in streaming sono strettamente accoppiati.
Gli acquirenti che scelgono una soluzione XDR Cloud rete, identità e Cloud tendono a ottenere vantaggi associati all'ampia visibilità, alla facilità d'uso e al time-to-value.
Questo è in contrasto con il SIEM tradizionale, ma c'è un compromesso da considerare: mentre i casi d'uso più comuni saranno coperti, ci possono essere casi d'uso su misura o di lunga durata che non rientrano nell'ambito di applicazione. Se questo è il vostro caso, potreste doverne sviluppare alcuni da soli.
Per alcuni acquirenti, ciò significa che la sostituzione completa del SIEM non è fattibile, anche se molti dei casi d'uso precedentemente perseguiti nel SIEM possono essere scaricati nell'XDR. Inoltre, esiste una reale differenziazione tra ecosistemi chiusi e aperti.
Gli acquirenti dovrebbero cercare un XDR cooperativo e aperto: richiedere l'intero ecosistema di un fornitore insieme a un agente EDR di seconda scelta per godere dei vantaggi dell'XDR dovrebbe probabilmente essere un punto a sfavore per chiunque.
Conclusioni: Il posto di XDR nel futuro della sicurezza informatica
Sebbene quanto detto sopra possa offrire qualche spunto su cosa aspettarsi in un viaggio XDR, c'è ancora molto terreno da coprire prima che gli arbitri finali - gli acquirenti stessi - facciano chiarezza sull'argomento.
Tuttavia, nonostante la potenziale confusione e il disaccordo nel frattempo, c'è un punto a favore per tutti coloro che si preoccupano di fermare le minacce: l'ascesa dell'XDR come categoria di mercato indica un importante punto di maturità nella ricerca della resilienza attraverso la cybersecurity.
È il segnale che il superamento dei costosi fallimenti della sicurezza incentrata sulla prevenzione è diventato mainstream. In definitiva, è una cosa che tutti dovrebbero festeggiare.
Scoprite come la piattaforma Vectra AI può rivoluzionare la vostra strategia XDR. Collaborate con noi per ridefinire la resilienza e rimanere all'avanguardia nel settore della cybersecurity.