MDR, EPP, EDR, XDR come funzionano e quali sono le differenze

MDR, EPP, EDR, XDR come funzionano e quali sono le differenze

Sembra che non ci sia mai fine ai termini e alle sigle che occorre memorizzare quando si lavora nel campo dell’Information Technology o ancora di più della Cybersecurity. Sembrano lontani i tempi in cui dovevamo fare chiarezza su termini come BEC, Breach, APT o Zero Day. Ora queste minacce fanno talmente parte del nostro quotidiano che tutti noi ne abbiamo assimilato significato e conseguenze.

Su cosa occorre concentrarsi oggi?

Sui termini che identificano le soluzioni.

Fortunatamente il mercato offre una vasta gamma di soluzioni e prodotti per far fronte alla mole incombente di minacce cyber e pensiamo sia importante per noi operatori del settore supportare gli IT Manager nella scelta più giusta. Questo mese parliamo di cosa significano MDR, EDR, EPP e XDR e di cosa va sempre tenuto in considerazione quando si sceglie una soluzione per la propria azienda.

Prima di addentrarci nelle sigle occorre precisare che tutte queste si posizionano in punti diversi del framework di sicurezza informatica (come Cybersecurity Framework del NIST https://www.nist.gov/cyberframework ) Identify, Protect,  Detect, Respond e Recover e che identificarne il posizionamento ci aiuta a compiere scelte più consapevoli.

MDR

Questa sigla (alla lettera Managed Detection & Response) non identifica una tecnologia, bensì un servizio di sicurezza informatica "gestito" che – grazie al supporto di uno ”stack” di diverse tecnologie- mette l’azienda in grado di rilevare una vasta gamma di minacce e di rispondere in maniera adeguata.

EPP

(Endpoint Protection Platform), è il primo baluardo ed il primo componente di questo stack di protezione per server ed endpoint, consente di identificare e prevenire le minacce “commodity”: malware massivo, phishing non mirato e truffe online di base. E’ un componente fondamentale ma, è bene averlo molto chiaro, non è sufficiente. Perché? La risposta è legata principalmente alla modalità con cui gli attuali vettori di attacco operano: se, e accade con una certa frequenza, la minaccia riesce a superare la protezione “tradizionale” di un EPP non si sarà in grado rilevarlo senza strumenti aggiuntivi.

E qui entra in gioco l’EDR (Endpoint Detection & Response): l’idea alla base dell’EDR è quella di consentire ai team di sicurezza IT di identificare le attività malevole tra il normale comportamento degli utenti. Ciò si ottiene raccogliendo dati comportamentali e inviandoli a un database centrale per l’analisi. Utilizzando strumenti di analisi basati sull’intelligenza artificiale, le soluzioni EDR sono in grado di identificare modelli e rilevare anomalie. Questi possono quindi essere inviati per ulteriori indagini o correzioni.

XDR: questa è la sigla per la quale in rete sussistono più variabili. Quella che noi riteniamo più corretta è quella per cui la X sta per “extended” ovvero un EDR che allarga il suo perimetro d’azione all’intera rete aziendale. XDR è la sigla che rappresenta meglio l’approccio globale che riteniamo vitale per la protezione delle nostre aziende: maggiori sono i dati aggregati, migliore sarà la visibilità, più rapida potrà essere la risposta.

L’EDR è limitato perché può solo esaminare e rispondere alle minacce sugli endpoint gestiti. Ciò limita l'ambito delle minacce che possono essere rilevate, nonché la visione di chi e cosa sono stati impattati; l’XDR espande il campo di analisi anche alla componente di rete rappresentando quindi il compendio e l’evoluzione naturale di un EDR

Cosa tenere a mente quando ti trovi a fare una scelta per la tua azienda?

  1. Quanti “strati” di sicurezza ti offre la soluzione prescelta (ci hai sentito dire spesso che la sicurezza IT è fatta a strati, anche in questo caso il concetto torna utile per valutare il servizio migliore, maggiore è il numero di strati offerti, più globale sarà la protezione;
  2. che tipo di visibilità e monitoraggio ti offre;
  3. se le varie componenti in gioco consentono l’arresto remoto degli attacchi isolando tutti gli host interessati dalla rete;
  4. quanto è competente il personale adibito al controllo degli eventi rilevati;
  5. se offre realmente una protezione contro le minacce zero day, file-less e signature-less, in poche parole se è realmente una soluzione adatta ai tempi che corrono o se è un tradizionale antivirus rimodernato;
  6. se e come si integra questa soluzione con quelle già in dotazione.

Uno degli elementi focali resta comunque quello umano: tutte queste soluzioni richiedono un controllo costante degli alert che vengono sganciati. Per questo riteniamo che l’approccio “gestito” sia sempre l’opzione migliore, per chi come te già deve affrontare e gestire una mole di lavoro elevata.

Adottare una di queste soluzioni ( o auspicabilmente tutte e quattro, per un miglioramento sostanziale della postura di sicurezza della tua azienda) senza poterle efficacemente monitorare non è una soluzione ideale. Non devi “solo” attivare un sistema di monitoraggio, di individuazione o di remediation: devi poter intervenire con tempestività ed efficacia.

Anche per questo, un MSSP può venirti in aiuto,  #bettertogehter

Se sei interessato ad approfondire il tema Cybersecurity compila il form qui sotto per una consulenza gratuita.

 

 

Vera Tucci
Vera Tucci
v.tucci@t-consulting.it

Co-fondatrice della T-Consulting, in equilibrio tra il rigore dei numeri e la creatività della comunicazione. Non potrei fare un backup se ne andasse della mia vita, ma scrivo di ciò che più conosco e mi appassiona: efficienza, innovazione, sviluppo aziendale, e parità di genere.