Oggigiorno i Cybersecurity Manager hanno molto di cui occuparsi: sono a corto di personale e devono affrontare la carenza di competenze. Queste sono sfide che devono riuscire a fronteggiare giornalmente, unitamente al crescente aumento della complessità IT, combinate con l’attuale new normal dove i dipendenti lavorano in smart working utlizzano reti private con dispositivi personali. Questo scenario ha inevitabilmente reso sfidante il mantenere al sicuro le applicazioni ed i dati sensibili.
Il mercato della cybersecurity in Italia ha raggiunto 1.55 miliardi di Euro nel 2021 (+13% rispetto al 2020) – fonte Osservatorio Cyber Security – con una crescita costante delle minacce (1.053 incidenti gravi nel primo semestre 2021, secondo i dati Clusit).
In Qualys, Inc. (NASDAQ: QLYS) – azienda pionieristica e leader di mercato nella fornitura di innovative soluzioni per IT, sicurezza e conformità basate su cloud – riteniamo che uno degli approcci più popolari alla tanto desiderata piattaforma di cybersecurity nel settore oggi sia l’extended detection and response (XDR), una soluzione cloud-native in grado di fare capolino in ogni fessura dello stack tecnologico, in grado di rilevare e rispondere agli incidenti in tempo reale.
Interpretazioni della forma
Ci sono differenti interpretazioni nel merito e posso asserire che non tutti gli XDR sono creati in ugual modo. Di seguito argomenterò come solo l’XDR guidato dal contesto sia in grado di sostenere adeguatamente gli analisti della sicurezza nel prioritizzare le minacce e nel ridurre l’effort richiesto per la gestione degli avvisi.
A causa del gap diffuso di competenze in sicurezza digitale, i team hanno bisogno di tutti i supporti possibili quando si tratta di identificare e mitigare le minacce. Tuttavia, troppo spesso gli avvisi che spingono alla ricerca offrono poche informazioni di supporto sugli utenti, le risorse e i comportamenti che hanno innescato l’avviso iniziale. I threat hunter (cacciatori di minacce) hanno bisogno di sapere una serie di informazioni sui sistemi operativi, le vulnerabilità e la configurazione delle risorse, così come una valutazione iniziale della probabilità di successo dell’attacco. Per fare alcuni esempi: se l’attacco ha già avuto luogo, in quale punto del quadro MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) è penetrato? Se è in corso, può essere mitigato dall’automazione, da un analista junior o sarà necessario un team di esperti interni o esterni per affrontarlo? Che abbia successo o meno, l’XDR aiuta ad avere un ricco diario degli allarmi che hanno portato all’evento segnalato, compresa un’analisi a posteriori sull’impatto che l’attacco ha avuto sull’azienda.
Una piramide di bisogni
Compilare tutte queste informazioni in modo tempestivo è una delle sfide chiave per i già oberati professionisti della sicurezza. Informazioni incomplete provenienti da più fonti possono mettere gli analisti in difficoltà nel comprendere l’esposizione al rischio e la criticità degli asset della loro organizzazione. Viaggiando di dashboard in dashboard, faranno del loro meglio con quello che hanno a portata di mano, ma il tempo che passano a inseguire i falsi positivi è tempo sottratto ad attività più produttive, come affrontare le minacce reali che rappresentano un rischio concreto.
Il SOC moderno ha tre esigenze fondamentali quando si tratta di valutazione delle minacce. La prima è l’immediatezza, dove le risposte possono realizzarsi su scala in tempo reale. La seconda, la criticità, richiede la comprensione degli impatti e dei potenziali impatti ai fini della definizione delle priorità. E la terza è la risposta, che rappresenta i mezzi per intraprendere azioni efficaci, come la sospensione dei processi e la messa in quarantena dei file.
Per soddisfare questa piramide di esigenze, le soluzioni XDR devono rompere i silos di dati sulla sicurezza per fornire una visione unificata dello stack tecnologico aziendale e delle minacce. L’XDR efficace dovrebbe riunire l’insieme delle soluzioni e delle funzioni di sicurezza in una singola piattaforma. Così facendo, l’XDR orientato al contesto può aiutare a eliminare il rumore bianco che la telemetria crea e presentare una visione in tempo reale per l’utente dell’impatto aziendale di un dato allarme. Il contesto, in breve, porta a una risposta più efficace.
Multi-tentacolarità
Context XDR di Qualys riunisce le informazioni disponibili sulla postura di rischio, la criticità delle risorse e le minacce stesse per fornire un quadro più chiaro. Sfrutta la vulnerabilità completa e gli insight sugli exploit per il sistema operativo di una risorsa minacciata e per le app di terze parti. Gli insight devono includere le configurazioni errate e i flag di end-of-life (EOL). Questa mappatura ininterrotta delle vulnerabilità fornirà un quadro più completo della security posture dell’organizzazione rispetto a un semplice punteggio di rischio basato su come gli stati delle patch del sistema operativo si riferiscono alle vulnerabilità comuni.
In un contesto XDR la scoperta attiva degli asset è vitale e le assegnazioni di criticità guidate dalle policy possono evolvere più facilmente con lo stato attuale di una risorsa se le informazioni sulla risorsa sono aggiornate. Il giusto contesto di security e di business può aiutare i team di sicurezza a dare priorità, si prendano ad esempio il laptop di un dirigente o un server di database che memorizzano proprietà intellettuali sensibili.
Tutto ciò che Qualys Context XDR si impegna a realizzare dipende dalla qualità e dalla disponibilità dei dati giusti al momento giusto. Questo non è solo vero per le risorse, ma anche per gli stessi potenziali attacchi. La threat intelligence sugli attuali exploit e metodi di attacco può fornire insight attuabili che possono aiutare i team di sicurezza a prevenire e mitigare i pericoli oltre i gate digitali. Dove possibile, le soluzioni XDR dovrebbero guardare ai dati da soluzioni di terze parti all’interno dello stack tecnologico e combinarli con la security posture delle risorse, la criticità e la threat intelligence , per creare una maggiore affidabilità negli avvisi.
Il futuro è l’XDR contestualizzato – una sentinella a tutti gli effetti, multi-tentacolare, con accesso a ogni superficie e spiraglio nella proprietà digitale. Gli attori delle minacce possono averci superato, ma disponendo di un Context XDR nel nostro arsenale, il successo finale sarà nostro.
