Il riconoscimento di cyberattacchi basato sul comportamento consente una rapida reazione alle anomalie. Le aziende beneficiano così di una protezione più efficace. Questo grazie anche a come XDR cambia il lavoro degli analisti della sicurezza nel SOC.
Testo: Andreas Heer, Immagini: Adobe Stock
17 marzo 2023
I cybercriminali sono creativi. Microsoft fa appena a tempo a fermare l’esecuzione delle macro nei documenti Office scaricati, che subito gli hacker cercano nuove vulnerabilità per penetrare nella rete aziendale. I file ZIP, le immagini iso e gli appunti OneNote con script Visual Basic incorporati sono i nuovi metodi per trasmettere malware con mail di phishing.
Queste forme di attacco mettono i sistemi di protezione sulla difensiva, perlomeno quando il riconoscimento degli attacchi sfrutta esclusivamente metodi tradizionali come software antivirus basati su firma e analisi di file log dei dispositivi collegati in rete. Gli analisti della sicurezza hanno inoltre a che fare con un’ampia zona grigia: è realmente accaduto qualcosa quando si è aperto un sito web sospetto? È un malware che ha avviato un processo PowerShell o è stato piuttosto un amministratore? La grande quantità di avvisi – e secondo uno studio di Palo Alto sono fino a 11 000 al giorno – complica i processi di risoluzione producendo un «Alert Fatigue». Di conseguenza sempre più segnalazioni vengono ignorate perché alla fine non è mai successo niente.
Queste sono le condizioni che hanno indotto i fornitori di sicurezza informatica a sviluppare Endpoint Detection and Response (EDR). È una soluzione che individua comportamenti sospetti e anomalie sui terminali e che è in grado di reagire in modo automatico in caso di sospetto, ad esempio mettendo i file sospetti in quarantena. La visione rimane però limitata ai singoli dispositivi. Per ottenere un quadro completo occorre una più complessa correlazione in un SIEM (Security Information and Event Management) o SOAR (Security Orchestration, Automation and Response), sistemi anch’essi di per sé complessi.
Per ottenere una visione d’insieme di operazioni sospette in un pacchetto bisogna arrivare a un ulteriore sviluppo: XDR (Extended Detection and Response). Questo sistema estende la funzionalità EDR ai dispositivi di rete e ai servizi cloud. «In questo modo possiamo seguire gli eventi lungo l’intero svolgimento e riconoscere i nessi tra i singoli passi», così Yannick Schuitemaker, Security Analyst presso Swisscom, spiega i vantaggi di XDR rispetto a EDR.
Questo facilita il lavoro degli analisti della sicurezza, spiega Schuitemaker: «Senza XDR avevamo solo una visione limitata, ad esempio sulla base dei logfile di un proxy. Oggi possiamo vedere direttamente l’intera comunicazione dell’attacco». In combinazione con la correlazione di eventi basata su machine learning, XDR agevola la ricerca in caso di alert. E consente ai tecnici della security di reagire più rapidamente, e soprattutto di reagire prima. Le capacità di risposta di XDR permettono spesso, ad esempio, di arrestare un attacco di ransomware prima che dilaghi nell’intera rete aziendale e prima che vengano criptati importanti dati aziendali.
XDR offre così una piattaforma centralizzata per le analisi e le prime operazioni di difesa in caso di cyberattacchi. In determinate circostanze permette anche di sostituire diversi singoli tool nel Security Operations Center o persino un SIEM complesso. Questo agevola molto il lavoro non solo degli analisti della sicurezza, ma anche del CFO, che può risparmiare sui costi delle licenze.
La correlazione automatica degli alert su tutta l’infrastruttura riduce anche il numero di segnalazioni che gli analisti devono considerare. «Questo ci aiuta a concentrarci maggiormente su ogni segnalazione ed evitare il rischio di un alert fatigue», afferma Schuitemaker.
Il riconoscimento di XDR alleggerisce molto il lavoro di routine dei tecnici della security. E sfrutta i vantaggi di una piattaforma cloud: gli attacchi noti sono riconosciuti da XDR a livello centrale, mentre nuovi modelli di riconoscimento sono messi a disposizione di tutti gli utenti. «Questo contribuisce ad incrementare la qualità del riconoscimento degli attacchi e ci risparmia anche del lavoro», racconta Schuitemaker, evidenziando i benefici di questo sistema. «Possiamo impiegare le nostre competenze per casi particolari, al posto di doverci preoccupare di lavori di routine».
XDR significa quindi sgravare i tecnici informatici dedicati alla cybersecurity, tanto rari sul mercato. Ma non vuol dire sostituirli. «In caso di dubbio, è sempre la persona a decidere sulle misure di risposta da adottare», afferma Schuitemaker. «Infatti, ogni infrastruttura è diversa.» La reazione umana è fondamentale per potere agire correttamente in quella zona grigia di anomalie e per distinguere i cyberattacchi da comportamenti insoliti, ma intenzionali.
La capacità di Extended Detection and Response di riconoscere i cyberattacchi sull’intera infrastruttura e di avviare operazioni di difesa permette ai tecnici informatici di risparmiare parecchio lavoro tedioso. Si liberano così risorse per la difesa effettiva, mentre la Security Posture, ossia la protezione informatica delle aziende, passa al prossimo livello.