L'ascesa dell'Extended Detection and Response (XDR) è sia una conferma che una condanna della tecnologia Security Information and Event Management (SIEM), la categoria di mercato dominante associata all'esecuzione di attività aggregate di rilevamento, indagine e risposta alle minacce.
Si tratta di una conferma perché sottolinea la tesi centrale secondo cui l'aggregazione di più segnali durante il ciclo di vita dell'attacco è fondamentalmente corretta. Ma è anche un'accusa perché l'emergere di una seconda categoria di mercato che risolve lo stesso problema ci fa capire l'inefficacia dell'approccio attuale.
È evidente che il mercato ha manifestato un forte interesse, ma quanto delle promesse dell'XDR è solo pubblicità?
Gli acquirenti che desiderano sapere cosa li aspetta prima di invitare un partner alla danza XDR farebbero bene a riconoscere che quasi tutti i fornitori nel settore XDR provengono da un mercato adiacente e che porteranno con sé quel mercato adiacente mentre piantano la loro bandiera XDR.
Gli acquirenti devono essere consapevoli che esistono quattro principali aree di provenienza dei fornitori di XDR.
SIEM e XDR: trasformazione o cambiamento superficiale?
I fornitori di SIEM hanno molti incentivi a rinominarsi fornitori di XDR. Nel caso evidente dei piccoli operatori che non hanno la quota di mercato dei grandi, è un'opportunità per passare alla nuova tendenza e riprovare.
Ma anche per i player dominanti, il rebranding della soluzione esistente inizia ad avere molto senso quando ci si rende conto che molte implementazioni SIEM sono solo costosi raccoglitori di log, non rilevatori di minacce.
Il mancato rispetto delle promesse relative al rilevamento delle minacce correlate crea una sorta di fardello reputazionale e l'ascesa dell'XDR rappresenta un'opportunità per rinascere, soprattutto se il fornitore ha apportato miglioramenti sostanziali alla tecnologia sottostante.
Gli acquirenti che stanno valutando una soluzione XDR basata su SIEM devono davvero chiedersi se ci sono stati cambiamenti sostanziali o se si tratta solo di una nuova veste grafica. Quando si sceglie di intraprendere il percorso XDR con un fornitore SIEM, si tende fortemente a privilegiare la creazione piuttosto che l'acquisto.
Per gli acquirenti con risorse adeguate che possono permettersi i costi accessori elevati legati all'implementazione di questa tecnologia o che hanno casi d'uso specifici non coperti da soluzioni più specifiche, questa soluzione può comunque essere vantaggiosa.
L'influenza dell'EDR nell'XDR: espansione oltre i confini tradizionali
Considerando gli incentivi in gioco con i fornitori Endpoint and Response (EDR) e gli analisti del settore, è comprensibile che definire XDR come EDR++ abbia una certa attrattiva.
Le aziende EDR continuano ad avere bisogno di crescere per soddisfare gli azionisti e l'esclusione della concorrenza nella fase dei requisiti rende più facile la divisione di quella nuova torta. Nel frattempo, gli analisti del settore devono placare tutti quei nervosi fornitori SIEM già affermati e la creazione di una categoria XDR potrebbe essere un mezzo temporaneo per mantenere la pace tra i campi EDR e SIEM.
Sebbene l'EDR fornisca un segnale utile per molti tipi di rilevamento delle minacce tradizionali, il problema di dare troppo peso all'EDR in qualsiasi approccio XDR diventa evidente se si considera che circa il 70% delle risorse e dei servizi aziendali non utilizza un agente EDR. Se un'azienda ibrida moderna deve affrontare minacce al cloud, all'identità, alle applicazioni SaaS e persino alle reti OT/IoT, fingere che tutte le violazioni comportino la compromissione di un endpoint abilitato per EDR endpoint arrivare con circa un decennio di ritardo.
Gli acquirenti che cercano una soluzione XDR basata su EDR devono considerare due aspetti: le prestazioni dell'EDR stesso e l'aggregazione e la correlazione di altri segnali. È necessario dare priorità alle buone prestazioni dell'EDR, ma senza escludere un trattamento efficace dell'intero ecosistema dei segnali.
Se l'immagine che inizia a emergere è quella di un EDR e qualcosa di simile a un SIEM appena assemblati insieme, il tuo sesto senso dovrebbe metterti in allerta e tutte le indicazioni precedenti per gli acquirenti di XDR basati su SIEM diventano applicabili.
Soluzioni XDR basate sui servizi: il fattore umano
Questi ragazzi hanno esaminato i risultati che XDR si proponeva di raggiungere e hanno affermato che, se il prezzo è giusto, il fatto che tali risultati siano raggiunti dalla tecnologia o dalle persone è secondario.
Francamente, questo ha molto senso ed è uno dei motivi per cui per molti acquirenti una soluzione XDR può essere fornita come servizio gestito. L'unico problema è l'esecuzione, non la teoria.
Molti acquirenti ricorderanno il momento in cui i loro fornitori di soluzioni di sicurezza gestite (MSSP) sono stati incentivati a trasformarsi da un giorno all'altro in fornitori di servizi di rilevamento e risposta gestiti (MDR) senza alcun miglioramento sostanziale della qualità del servizio.
Gli acquirenti che cercano una soluzione XDR basata sui servizi con un fornitore competente a un costo interessante potrebbero avere molti vantaggi davanti a sé: i fornitori di servizi possono operare su una scala che non sempre è fattibile per un'organizzazione da sola.
Purtroppo, trovare un fornitore di servizi competente non è così semplice come consultare un quadrante magico e alcuni degli acquirenti che trovano interessanti le capacità di un fornitore di servizi non hanno la maturità necessaria per valutare efficacemente la qualità dei risultati.
Gli acquirenti dovrebbero passare all'offensiva e mettere sotto pressione i propri fornitori affinché definiscano chiaramente in termini quantificabili come verrà mitigato il rischio e implementino regolarmente red team senza preavviso come controllo incrociato.
Cloud basato su rete, identità e Cloud all'XDR
Infine, esiste una categoria di fornitori il cui portafoglio di piattaforme includeva più segnali di rilevamento delle minacce e che ha riconosciuto che il tutto era maggiore della somma delle sue parti.
Il rilevamento e la risposta di rete (NDR), Cloud e la rispostaCloud (CDR), il rilevamento e la risposta delle minacce all'identità (ITDR) e persino le aziende tradizionali di firewall di nuova generazione (NGFW) che utilizzano la tecnologia di rilevamento delle intrusioni (IDS) possono contribuire alla segnalazione delle minacce.
Questa categoria tende a contrastare in modo più netto con l'approccio tradizionale basato su SIEM, poiché questi fornitori tendono ad avere sistemi di rilevamento delle minacce appositamente progettati in cui i dati sottostanti e l'analisi dei flussi sono strettamente correlati.
Gli acquirenti che cercano una soluzione XDR Cloud rete, identità e Cloud tendono a ottenere vantaggi legati all'ampia visibilità, alla facilità d'uso e al time-to-value.
Ciò è in contrasto con il tradizionale SIEM, ma occorre considerare un compromesso: mentre saranno coperti i casi d'uso più comuni, potrebbero esserci casi d'uso personalizzati o di nicchia che esulano dall'ambito di applicazione. Se questo è il vostro caso, potreste dover implementare alcuni di questi voi stessi.
Per alcuni acquirenti, ciò significa che la sostituzione completa del SIEM non è praticabile, anche se molti dei casi d'uso precedentemente perseguiti nel SIEM possono essere trasferiti all'XDR. Inoltre, esiste una reale differenziazione tra ecosistemi chiusi e aperti.
Gli acquirenti dovrebbero cercare soluzioni cooperative e Open XDR: richiedere l'intero ecosistema di un fornitore insieme a un agente EDR di seconda categoria per godere dei vantaggi dell'XDR dovrebbe probabilmente essere un motivo di rottura dell'accordo per chiunque.
Conclusione: il ruolo dell'XDR nel futuro della sicurezza informatica
Sebbene quanto sopra possa offrire alcune indicazioni su cosa aspettarsi da un percorso XDR, c'è ancora molta strada da fare prima che gli arbitri finali, ovvero gli acquirenti stessi, facciano chiarezza sull'argomento.
Ciononostante, nonostante la potenziale confusione e il disaccordo nel frattempo, c'è un punto che rappresenta una vittoria per tutti coloro che hanno a cuore la lotta alle minacce: l'ascesa dell'XDR come categoria di mercato indica un importante punto di maturità nella ricerca della resilienza attraverso la sicurezza informatica.
Ciò indica che superare i costosi fallimenti della sicurezza incentrata sulla prevenzione è ormai diventata una pratica comune. Alla fine, questo è qualcosa che tutti dovrebbero festeggiare.
Scoprite come la Vectra AI può rivoluzionare la vostra strategia XDR. Contattateci per ridefinire la resilienza e rimanere all'avanguardia nel campo della sicurezza informatica.