MDR è l’acronimo di Managed Detection & Response. Cos’è quindi esattamente un MDR? MDR non fa riferimento ad una specifica tecnologia, bensì fa riferimento a un servizio. Ciò che rende unico un MDR è la sua attenzione nello sfruttare la tecnologia e le competenze per monitorare continuamente le risorse IT, in modo da rilevare rapidamente e rispondere efficacemente alle vere minacce alla sicurezza informatica.
La tecnologia alla base di un servizio MDR può includere una serie di opzioni e questa è una cosa importante da capire quando si valutano i fornitori di MDR. Lo stack tecnologico alla base del servizio determina la portata degli attacchi che sono in grado di rilevare. La sicurezza informatica in questo caso fa riferimento al concetto di Defense in Depth (ovvero “difesa in profondità”) permettendo di disporre di più livelli di protezione al fine di contrastare i molteplici vettori di possibili attacchi.
In affiancamento ad una soluzione MDR vengono tipicamente utilizzare diverse soluzioni per fornire una visibilità più completa e relativa quindi, capacità di rilevamento e risposta più complete. Tra queste soluzioni in affiancamento agli MDR citiamo i:
Cosa significa EDR
Se un MDR fa riferimento al rilevamento e alla risposta alle minacce, che cos’è EDR? EDR significa rilevamento e risposta degli endpoint. Ancora una volta, la parola “minaccia” manca poiché il nome del gioco non rileva l’esistenza degli endpoint. A volte viene anche indicato, meno comunemente ma più correttamente, come ETDR; la differenza tra MDR ed EDR è l’ambito. Un EDR si concentra sul rilevamento delle minacce e sulla risposta specificamente all’ambiente endpoint. Che cosa significa? EDR si concentra sull’attività sul dispositivo anziché sulla rete: pensa a laptop, server e dispositivi aziendali critici come i sistemi POS. Per capire meglio cosa è e cosa non è EDR, è necessario prima capire che “rilevamento e risposta” sono solo due elementi del framework di sicurezza informatica Predict, Prevent, Detect e Respond.
Un EDR si occupa quindi delle minacce che hanno superato le funzioni di previsione e prevenzione.
EPP: Significato e funzionalità
EPP fa riferimento ad una piattaforma di protezione degli endpoint. Quindi mentre un EDR si concentra sul rilevamento e sulla risposta alle minacce degli endpoint, EPP è più completo in quanto copre le quattro funzioni di sicurezza informatica di previsione, prevenzione, rilevamento e risposta pur essendo focalizzato esclusivamente sull’ambiente dell’endpoint. In quanto tali, le soluzioni EPP a vari livelli possono comprendere anche funzionalità di tipo EDR.
Ciò che è importante notare è che poiché nessun EPP è efficace al 100%, è necessario verificare di che tipo di sistema di rilevamento e risposta si dispone per gli attacchi che eludono i controlli di prevenzione. Parlando di prevenzione, un EPP sostituisce più comunemente le soluzioni di prevenzione di base come antivirus e antimalware che sono efficaci solo a vari livelli contro le minacce note. Le soluzioni EPP più avanzate sfruttano l’AI (intelligenza artificiale) per aumentare la capacità di contrastare attacchi sconosciuti o zero-day, o anche attacchi senza file che non lasciano impronte basate su firme.
Ricapitolando quindi: un MDR è un servizio di sicurezza informatica gestito supportato da varie tecnologie per fornire una gamma di capacità di rilevamento e risposta alle minacce per mitigare i danni causati da attacchi informatici che eludono i controlli di prevenzione. Gli strati di tecnologia impiegati, la vigilanza e la competenza del personale determinano quanto possa essere veramente efficace un vendor di soluzioni MDR. Un EDR ha uno scopo simile, ma si concentra solo sugli ambienti endpoint. Le soluzioni EDR possono essere solo tecnologia o un servizio gestito, come in Managed EDR. L’EPP è una protezione più completa che copre il ciclo di vita di una minaccia, dalla previsione e prevenzione al rilevamento e risposta. Tuttavia, l’efficacia su ciascuna di queste quattro funzioni varia da fornitore a fornitore.
Cosa significa XDR
Nelle varie sigle e acronomi in questo ambito, abbiamo un altro termine inerente alla fase rilevamento e risposta. La “X” in XDR trasmette il concetto di rilevamento e risposta alle minacce attraverso più controlli di sicurezza, considerando sia l’endpoint che l’attività di rete.
Il rilevamento e la risposta alle minacce di rete e endpoint è un’evoluzione naturale, o forse una convergenza, di diverse soluzioni, principalmente SIEM ed EPP. Si potrebbe quindi catalogare un sistema XDR, come un sistema in grado di raccogliere e correlare automaticamente i dati tra più livelli di sicurezza (email, endpoint, server, workload in cloud e rete), in modo che le minacce possano essere rilevate più rapidamente e gli analisti di sicurezza possano migliorare i tempi di indagine e risposta. La soluzione quindi in realtà non è una cosa nuova di per sé, ma piuttosto fa riferimento ad un termine utile per evidenziare una soluzione che è in grado di aggregare e correlare la telemetria da molti controlli di sicurezza al fine di difendere in modo più olistico l’infrastruttura IT.
