XDR, Extended Detection and Response, molto più di un acronimo
E’ indubbio che i clienti siano gli esperti dei propri ambienti dal momento che ogni giorno sono impegnati nella battaglia della cybersecurity, valutando indicatori, alert e minacce e gestendone i relativi rischi. Questo è il motivo per cui molto prima che pensassimo di realizzare e portare sul mercato la Vectra AI platform, Hitesh Sheth, fondatore, presidente e CEO di Vectra AI, si è confrontato con alcuni dei principali clienti e partner.
Attraverso innumerevoli conversazioni, il team di sviluppo di Vectra AI ha così capito quali sono le priorità di CISO, leader dei SOC e analisti in ambito cyber, non solo dal punto di vista della tecnologia di sicurezza, ma approfondendo quali sono le aspettative verso un vendor di cybersecurity. La risposta è che non hanno bisogno di un semplice software o di una soluzione ma chiedono di poter risolvere i problemi in costante crescita causati dagli attacchi informatici, producendo risultati concreti e tempestivi.
In particolare, da quasi ogni conversazione con i clienti, emergono le stesse esigenze:
- Vogliono essere consapevoli di ciò che sta accadendo nei loro ambienti ibridi
- Vogliono concentrare tempo ed energie sulle minacce più importanti
- Vogliono sviluppare e accrescere le proprie competenze e aiutare il team a fare lo stesso
Nessun cliente ha richiesto di poter disporre “di un sistema XDR, ovvero di una piattaforma Extended Detection and Response” ma è quello di cui tutti avrebbero bisogno. D’altronde, la realtà con cui le imprese si confrontano è caratterizzata da un ambiente di lavoro ibrido, destinato ad aumentare sempre di più, e di conseguenza da un’enorme superficie di attacco da tenere sotto controllo, composta da identità, cloud, applicazioni SaaS, reti, endpoint ed e-mail, etc. Inoltre, devono mitigare il rischio sull’intera superficie di attacco in modo rapido e su vasta scala.
E infatti la sintesi delle richieste che Vectra AI riceve è: “Abbiamo bisogno di un segnale integrato, preciso e veloce”.
Vectra AI ritiene che non sia importante il punto di partenza di implementazione di una strategia XDR, vale a dire dall’endpoint (EDR), dalla rete (NDR), dalle identità (ITDR) o dal cloud (CDR), ma occorre considerare con attenzione la tipologia degli alert che si ricevono, perché i team SOC si stanno scontrando con un paradigma di sicurezza che non è più sostenibile. Con i recenti progressi tecnologici nelle tattiche di attacco, come l’intelligenza artificiale (AI), la battaglia sta diventando ancora più sbilanciata, ovvero una violazione è solo questione di tempo.
Questa non è un’affermazione pessimistica, e tanto meno intimidatoria: il panorama delle minacce conferma da solo che gli aggressori stanno sfruttando le lacune anche nei sistemi di sicurezza più sofisticati, adattando tattiche, tecniche e procedure (TTP) in tempi sempre più rapidi e in accelerazione e, per di più, con approcci ibridi e sulle identità sempre più avanzati. In questo scenario, la capacità di difendere l’azienda dagli hacker diventa inevitabilmente ogni giorno più impegnativa.
È quindi necessario cambiare prospettiva e strategia difensiva: bisogna presumere che le violazioni si stiano verificando da qualche parte, e capire dove, quando o come bloccarle senza danni, interruzioni o perdita di dati. Tutto ciò pone però i SOC davanti a un dilemma: decidere su quali incidenti concentrarsi per primi, sperando che nessun attacco invisibile e irrisolto comporti un rischio maggiore per l’organizzazione.
Su questo fronte va aggiunto che poiché le nuove tecnologie non smetteranno mai di essere sviluppate e di essere adottate sia dai difensori sia dagli aggressori, aggiungendo ulteriori strumenti per affrontare queste nuove vulnerabilità, tutto ciò genera più anomalie, più avvisi e più alert a fronte di un tempo inferiore per gestirli. In altre parole, maggiore è la tecnologia e gli strumenti utilizzati dal team SOC, maggiore sarà, paradossalmente, il ritardo d’intervento e peggiori saranno i risultati.
Un’amara realtà se non si sviluppa un adeguato sistema XDR che garantisca copertura, chiarezza e controllo. Per questo, Vectra AI ha valorizzato il proprio lavoro pionieristico nel campo dell’intelligenza artificiale per sviluppare la piattaforma XDR incentrandola su cosa desiderano i clienti, ovvero alert mirati e in tempo reale sull’intera superficie ibrida, per abilitare i team SOC a indagare e rispondere velocemente e su vasta scala alle minacce concrete.
Inoltre, è importante implementare un approccio XDR ma anche mantenerlo nel tempo e quindi innovare ed espandere continuamente le capacità XDR per superare le abilità degli hacker.
Questo requisito può essere raggiunto con strategie di autenticazione e autorizzazione incentrate sull’identità, abbinate a funzionalità di rilevamento e risposta alle minacce più efficaci tramite una piattaforma basata sull’AI in grado di:
- Ottimizzare la copertura con un segnale di attacco integrato sull’intera superficie di attacco ibrida: email, SaaS, SASE, data center, IoT/OT, cloud pubblici, identità ed endpoint.
- Massimizzare la chiarezza con un’Attack Signal Intelligence integrata basata sull’AI che pensa come un utente malintenzionato, sa cosa è dannoso e si concentra su ciò che è urgente per dare priorità agli attacchi in tempo reale.
- Controllare con azioni di indagine e risposta gestite, integrate e automatizzate che consentono ai team SOC di muoversi alla velocità e alla portata degli aggressori ibridi.
Questi sono i pilastri della piattaforma Vectra AI in grado di garantire la promessa di XDR tramite un segnale integrato e basato sull’intelligenza artificiale con velocità e su vasta scala.
Caratteristiche indispensabili in un’era caratterizzata da minacce informatiche in costante e rapida evoluzione.