Le analisi di sicurezza XDR (Extended detection and response) esaminano un elevato volume di informazioni per identificare una serie di attività sospette. Questi sistemi di analisi del cloud rilevano le minacce, come gli attacchi zero-day e gli attacchi mirati, celate tra tutti i dati delle attività.
L'analisi della sicurezza è un elemento essenziale di XDR per affrontare la sfida dei numerosi e diversi feed di telemetria che provengono da diversi protocolli, differenti prodotti e diversi livelli di sicurezza. XDR include tipicamente dati di attività provenienti da molti vettori diversi, in particolare email, endpoint, server, workload in cloud e reti.
Un motore di analisi della sicurezza elabora i dati e attiva allarmi basati su filtri, regole o modelli definiti. L'analisi è ciò che mette in relazione le informazioni che entrano nella piattaforma XDR per identificare gli eventi di sicurezza e la loro gravità.
Per effettuare i rilevamenti, XDR utilizza la migliore tecnica analitica o una combinazione di tecniche, tra cui machine learning, data stacking o altri sistemi di analisi basati su big data. I sistemi di analisi della sicurezza XDR analizzano i dati relativi all'attività e vanno alla ricerca di diversi modelli comportamentali tra i vari livelli di sicurezza per identificare attacchi complessi e distribuiti su più fasi.
L'analisi della sicurezza XDR correla eventi, comportamenti e/o azioni a bassa affidabilità all'interno e attraverso i diversi livelli di sicurezza.
Invece di un analista di sicurezza che vede frammenti isolati di attività sospette, XDR può correlare una serie di eventi e identificarli come dannosi, invece che come, ad esempio, un allarme per un'email di phishing sospetta e magari un altro allarme isolato per un accesso sospetto a un dominio web. XDR può vedere l'email di phishing sospetta come correlata al raro accesso al dominio web su un endpoint, seguito successivamente da un file scaricato dopo l'esecuzione di uno script. Questo porterebbe a un rilevamento XDR ad alta affidabilità di un'attività dannosa su cui indagare.
XDR prende i singoli eventi rilevati e altri dati relativi all'attività ed esegue una correlazione incrociata a cui poi applica il sistema di analisi della sicurezza in cloud per ottenere un rilevamento più sofisticato e di successo. XDR si concentra su elementi comportamentali che i singoli prodotti da soli non riescono a rilevare.
Quando si tratta di analisi XDR, più regole, fonti e livelli sono disponibili, meglio è. Ma è importante anche la qualità dei dati. Se la qualità e l'analisi dei risultati non sono adeguate, la raccolta di dati non è necessariamente utile.
Regole e tecniche di rilevamento: grazie all'infrastruttura cloud, vengono pubblicati regolarmente regole e modelli di rilevamento delle minacce, nuovi o potenziati, per individuare diversi tipi di attività sospette. Attraverso un utilizzo frequente, le tecniche di rilevamento basate su machine learning possono ottimizzare le regole in modo continuativo per migliorare l'efficacia del rilevamento e ridurre i falsi positivi.
Fonti: La ricerca e la Informazioni sulle minacce consentono l'evoluzione di nuovi modelli di rilevamento in funzione dell'evoluzione del panorama delle minacce. I modelli di rilevamento dovrebbero integrare le informazioni sulle minacce interne ed esterne, come le tattiche e le tecniche MITRE ATT&CK™.
Livelli: Più livelli di sicurezza vengono aggiunti, maggiori diventano le capacità analitiche multi-livello della piattaforma, così come cresce esponenzialmente il valore per l'utente.