- 1. Comprendere la zuppa alfabetica della sicurezza degli endpoint
- 2. I limiti di SOAR
- 3. La storia si ripete: l'evoluzione dell'XDR e della gestione delle identità
- 4. Gestione delle minacce e proprietà ibrida
- 5. Le persone sono la forza trainante dell'integrazione di XDR e identità
- Implementare una soluzione ITDR di prim'ordine per integrare l'XDR.
Man mano che le aziende abbracciano il lavoro ibrido e la digitalizzazione, endpoint e identità si avvicinano sempre di più. Entrambe le professioni si stanno evolvendo e, per trarre il massimo da questa evoluzione, le persone di entrambe le parti dovranno attraversare il confine. In un recente episodio del podcast Hybrid Identity Protection, ho discusso di questa evoluzione con il cofondatore e COO di Remediant Paul Lanzi. Discutiamo anche del motivo per cui l 'integrazione tra XDR e identità rappresenta una svolta per i moderni team di sicurezza.
"Dal punto di vista di un professionista dell'identità, la sicurezza degli endpoint e dei server è sempre stata storicamente un problema di qualcun altro. In genere non c'è stata molta interazione con i team di identità, ma le cose stanno cambiando. Il team di sicurezza degli endpoint verrà presto a parlare con voi e voi dovete essere pronti". -Paul Lanzi, cofondatore e COO di Remediant
Lettura correlata
1. Comprendere la zuppa alfabetica della sicurezza degli endpoint
Il settore della sicurezza informatica ha una reputazione non immeritata di essere carico di acronimi in misura ridicola. È una vera e propria zuppa alfabetica di tecnologie, processi e sistemi. I due che probabilmente sono i più presenti al momento sono EDR e XDR.
L'idea di base dell'EDR (acronimo di endpoint detection and response) è abbastanza semplice. Man mano che gli autori di malware diventavano più intelligenti, imparavano a eludere il rilevamento basato sulle firme e ad architettare infezioni che potevano diffondersi molto più rapidamente di quanto gli antivirus fossero in grado di gestire. L'EDR è emerso come una potenziale risposta a questo problema, una soluzione di sicurezza in grado di agire in un intero ambiente per bloccare gli attori delle minacce e diffondere i dati sulle minacce tra le organizzazioni.
L'XDR, o rilevamento e risposta estesi, è considerato un'evoluzione dell'EDR. Mentre le soluzioni EDR si concentrano sulla sicurezza degli endpoint, le soluzioni XDR sono destinate ad attingere ad altre parti dello stack di sicurezza informatica. Purtroppo, dato che la tecnologia è ancora relativamente nuova, viene spesso utilizzata come strumento di marketing.
"Secondo Peter Firstbrook, un analista di Gartner che si occupa di questo settore, qualcosa come l'80% delle soluzioni XDR lanciate nei prossimi anni mancheranno in realtà delle funzionalità XDR di base", spiega Lanzi. "Quindi, era comprensibilmente un po' critico nei confronti di questi approcci esclusivamente commerciali a una nuova categoria di prodotti. Ma c'è ancora qualcosa".
2. I limiti di SOAR
Così come l'XDR è destinato a essere un'evoluzione dell'EDR, l'orchestrazione, l'automazione e la risposta alla sicurezza (SOAR) è destinato a essere un'evoluzione della gestione delle informazioni e degli eventi di sicurezza (SIEM). Mentre il SIEM si concentra principalmente sul rilevamento degli eventi e sugli avvisi, il SOAR aggiunge, almeno in teoria, capacità di mitigazione e risposta. Purtroppo, a causa delle immense risorse ingegneristiche e delle competenze necessarie per implementare tali funzionalità, la maggior parte delle aziende non è stata in grado di realizzarle.
"Penso che l'ipotesi sia buona", riflette Lanzi. "Se ci si integra con una soluzione per accedere ai suoi feed di eventi, perché non aggiungere funzionalità di risposta? La realtà è che molte SOAR sono utilizzate per raccogliere eventi e creare avvisi simili a quelli dei SIEM, ma la parte di risposta si è rivelata molto difficile da implementare per tutte le aziende, tranne quelle più grandi".
"Questo è parte di ciò che XDR sta cercando di affrontare", prosegue. "La promessa è che si possano intraprendere queste azioni di risposta come parte del proprio stack di sicurezza informatica, ma che non richiedano il livello di alimentazione e di progettazione di una soluzione SOAR. Si tratta di un'integrazione con un solo clic rispetto a un'implementazione che richiede un team completo di ingegneri della sicurezza".
3. La storia si ripete: l'evoluzione dell'XDR e della gestione delle identità
Attualmente, l'integrazione tra XDR e gestione delle identità è ancora in fase iniziale. Supponiamo, ad esempio, che l'azienda utilizzi Active Directory e che si scopra che il dispositivo di un dipendente è stato compromesso. Per evitare che gli attori delle minacce utilizzino le credenziali di quel dipendente per eseguire un attacco o per diffondersi lateralmente nella rete, avete la possibilità di utilizzare XDR per bloccare completamente l'account di quel dipendente.
Non si tratta esattamente del controllo a grana fine a cui sono abituati i professionisti dell'identità, ma secondo Lanzi questa funzionalità arriverà con il tempo, man mano che aumenteranno i punti di integrazione tra soluzioni XDR, directory e identity store.
"È la stessa cosa che abbiamo visto nelle azioni di risposta agli endpoint e prima ancora nel software antivirus", spiega Lanzi. "Agli albori delle soluzioni antivirus, ad esempio, si poteva eliminare un file compromesso oppure lasciarlo in pace e farlo girare a vuoto. Alla fine la situazione si è evoluta, con nuove azioni come la messa in quarantena, la rimozione dell'infezione e la conservazione del file, e così via: soluzioni più sfumate rispetto alla semplice eliminazione del file".
"La mia ipotesi è che questo fenomeno subirà un'accelerazione significativa nel prossimo futuro", aggiunge. "Direi nei prossimi diciotto-ventiquattro mesi".
4. Gestione delle minacce e proprietà ibrida
Le soluzioni XDR presentano una grande varietà di funzionalità e di opzioni di implementazione. Questa differenza è dovuta al fatto che le soluzioni XDR sono molto diverse tra loro. Gli ecosistemi aziendali moderni sono incredibilmente diversi: alcuni sono esclusivamente on-premise, altri sono basati sul cloud e molti sono ibridi.
Tutti questi ambienti condividono la necessità di gestire le minacce e il valore delle capacità di risposta alle identità in questo ambito.
"Abbiamo visto malware diffondersi anche grazie a credenziali ibride compromesse", osserva Lanzi. "Ci sono esempi eclatanti di organizzazioni che non solo hanno infettato la loro infrastruttura on-prem, ma anche quella ibrida. Il problema della diffusione di malware tramite identità esiste tanto per il cloud quanto per l'on-prem".
5. Le persone sono la forza trainante dell'integrazione di XDR e identità
"Storicamente, i professionisti dell'identità non hanno avuto molti motivi per collaborare con i professionisti della sicurezza degli endpoint", conclude Lanzi. "Questa situazione è destinata a cambiare ed è una buona idea stabilire relazioni in anticipo. L'altro giorno parlavo con qualcuno di come gran parte del lavoro che viene svolto nelle aziende sia dovuto alle reti informali che esistono piuttosto che alle relazioni formali".
In altre parole, è probabile che l'XDR sia già sulla tabella di marcia del vostro team di sicurezza degli endpoint. È quindi fondamentale che i professionisti dell'identità si adoperino per stabilire un rapporto con i colleghi fin da ora, e non solo per facilitare l'implementazione. Aprendo le linee di comunicazione, potreste anche essere in grado di garantire che qualsiasi soluzione XDR scelta dalla vostra organizzazione funzioni efficacemente con il vostro stack di identità.
Tradizionalmente, c'è stata una grande separazione tra la gestione degli endpoint e la gestione delle identità. Ma come può testimoniare chiunque abbia lavorato nel settore della sicurezza informatica, la tradizione non ha molto significato. Viviamo in un mondo in cui anche la tecnologia più avanzata può essere resa obsoleta in pochi anni.
Per prosperare in questo mondo, noi operatori dell'identità dobbiamo abbracciare il cambiamento e lavorare apertamente con coloro che lo facilitano.
Implementare una soluzione ITDR di prim'ordine per integrare l'XDR
L'abuso delle credenziali è un metodo primario utilizzato dagli aggressori per accedere ai sistemi e raggiungere i propri obiettivi. Tra le principali priorità dei CISO di Gartner per il 2022, le soluzioni di Identity Threat Detection and Response (ITDR) possono aumentare l'XDR con una protezione completa dei sistemi di identità. Recentemente inclusa nell'Hype Cycle di Gartner per le operazioni di sicurezza, l'ITDR è una categoria relativamente nuova, con un gruppo eterogeneo di fornitori e strategie. Privilegiate le soluzioni ITDR che forniscono una copertura dell'intero ciclo di vita di un attacco alle identità, prima, durante e dopo l'attacco.
Gartner sottolinea anche la necessità di prepararsi agli imprevisti. Ad esempio, emergeranno nuovi exploit zero-day contro l'AD. Includere l'AD nella pianificazione della gestione delle vulnerabilità e delle minacce e della risposta agli incidenti è fondamentale e affidarsi alle capacità di prevenzione e rilevamento non è sufficiente.
Assicuratevi che la vostra soluzione ITDR sia in grado di contenere gli attacchi con la riparazione automatica, di ripristinare le azioni dannose e di stare davanti all'avversario. Negli scenari peggiori, le soluzioni ITDR che includono il recupero del ransomware specifico per l'AD e le funzionalità forensi post violazione miglioreranno significativamente la preparazione informatica.