Prodotti e Servizi PRODOTTI & SERVIZI

Quattro verità del mondo reale sulla cybersecurity che hanno plasmato il nostro approccio a XDR

Il modello mentale di Sophos per il detection and response riflette il modo in cui gli utenti lavorano realmente e affronta la sfida delle "zone grigie" nella sicurezza informatica

Negli ultimi due anni, i tuoi endpoint sono diventati esponenzialmente più critici da proteggere.

Man mano che il lavoro è diventato più fluido, i tradizionali confini della sicurezza informatica si sono dissolti. Ora ogni utente dispone di più dispositivi e lavora ovunque e dappertutto, accedendo a dati che potrebbero non essere archiviati o elaborati sulla sua infrastruttura.

Nel frattempo, gli attacchi stanno diventando sempre più sofisticati, spesso su più dispositivi. Come ci si protegge da un attacco di phishing o di ingegneria sociale che arriva prima tramite messaggio di testo e poi utilizza tali informazioni per indurre a comportamenti rischiosi sul desktop?

Significa che la criticità della protezione degli endpoint è appena aumentata. E hai bisogno di ampliare gradualmente il contesto e le tue difese devono diventare più flessibili e più sicure.

Ed è questa combinazione di fattori che sta guidando l’evoluzione da EDR (rilevamento e risposta degli endpoint) a XDR (rilevamento e risposta estesi). Ti offre una visione più completa, in cui la protezione degli endpoint trae vantaggio dai segnali dell’intero ecosistema di sicurezza informatica e viceversa.

In teoria, XDR offre una preziosa serie di funzionalità che ti aiutano a proteggere il complicato posto di lavoro di oggi. Ma in pratica, uno strumento è utile solo se si adatta al tuo modo di lavorare. Quindi, quando abbiamo progettato Sophos XDR, ci siamo attenuti a un modello mentale basato sul mondo reale della sicurezza informatica e dell’IT.

Prevenzione prima del rilevamento – perché disponi solo di una larghezza di banda ridotta

Se sei come i professionisti IT e della sicurezza che conosco, non hai tempo per esaminare ogni piccolo problema. E con la ricchezza di informazioni acquisite da XDR, potresti facilmente passare tutto il tuo tempo a inseguire le ombre. Quindi il rapporto segnale/rumore è una priorità assoluta.

E uno dei modi principali per incrementare quel rapporto è quello di tenere al di fuori le minacce ovvie prima ancora che il sistema inizi a spedire avvisi. In tal modo si riduce la “zona grigia”, ovvero i segnali potenzialmente sospetti che non possono essere classificati automaticamente come buoni o cattivi e che necessitano di ulteriori indagini per determinare se sono indizi di un’attività dannosa.

Di conseguenza, il modo in cui XDR funziona insieme alle altre soluzioni di sicurezza informatica è davvero importante.

Nessuno è più concentrato sulla prevenzione degli attacchi di Sophos. La nostra protezione degli endpoint Intercept X riduce la superficie di attacco in modo che le minacce non possano raggiungere i sistemi e blocca l’esecuzione degli attacchi con la tecnologia anti-ransomware e anti-exploit ormai leader a livello mondiale.

Queste potenti funzionalità di protezione ti consentono di concentrare i tuoi sforzi su un numero di rilevamenti minore e più accurato. Vai dritto all’ago piuttosto che cacciare nel pagliaio. Eliminando in anticipo la stragrande maggioranza dei problemi, puoi concentrare la tua esperienza sui casi in cui hai il maggiore impatto, ad esempio, individuando la differenza tra un attacco informatico e un uso legittimo dell’IT che potrebbe creare segnali sospetti, come l’utilizzo di risorse cloud per costruire una demo.

Sì, è una rilevazione estesa, ma cosa posso dire: la protezione è nel nostro DNA.

Informazioni di segnale arricchite – perché stare al passo con le minacce è estenuante

Più complicato diventa il tuo panorama IT, più grande è la superficie di attacco. Nuovi comportamenti e URL sospetti vengono visualizzati ogni giorno. A parte qualsiasi altra cosa, non è ragionevole aspettarsi che tu mantenga tutta quell’intelligence sulle minacce nella tua testa.

Quindi non te lo chiederemo.

Invece, quando segnaliamo qualcosa di sospetto, diamo impulso al segnale con tutte le circostanze pertinenti che possiamo raccogliere. Classifichiamo e coloriamo gli avvisi in modo che tu sappia sempre dove guardare prima e suggeriamo azioni correttive, in base a ciò che il sistema può vedere.

Per un’app non riconosciuta, tale contesto potrebbe includere l’utilizzo del machine learning per analizzare in anticipo il suo potenziale comportamento e fornire un punteggio di rischio. Possiamo anche parlarvi della sua reputazione. È semplicemente una nuova app da una fonte attendibile o qualcosa di più preoccupante? Possiamo vedere se la posizione geografica è verificata e collegarti a qualsiasi analisi pertinente da fonti di terze parti.

Se l’app è firmata, è facile orientarsi e approfondire l’azienda di origine: puoi dipanare la matassa finché non sei sicuro di avere le informazioni necessarie per prendere la decisione giusta.

Questo approccio consente di analizzare in modo rapido ed efficace la propria zona grigia (già ridotta) e di adottare misure tempestive ed efficaci per proteggere la propria organizzazione.

Passaggio diretto ai cacciatori di minacce – perché gli esperti non sono mai abbastanza

Certo, di tanto in tanto ci sarà qualcosa che non sai. E in un mondo ideale, saresti sempre in grado di inoltrare qualcosa di cui non sei sicuro a un esperto a tempo pieno che vive e respira la caccia alle minacce.

Nella realtà, non ce ne sono mai abbastanza di quegli esperti, quindi la maggior parte delle aziende non ne ha uno, figuriamoci un team. Sophos, invece, ne ha molti. Identificare nuove minacce è una parte enorme di ciò che facciamo. Il nostro XDR semplifica l’utilizzo dei nostri servizi gestiti per aumentare la tua esperienza come e quando ne hai bisogno.

La parte interessante è che i nostri cacciatori di minacce utilizzano i tuoi stessi sistemi. Parlerai con qualcuno che sta guardando esattamente gli stessi dashboard e data points. L’unica differenza è che sono esperti di minacce informatiche a tempo pieno. Ciò significa che possono vedere istantaneamente la tua prospettiva e darti una risposta rapida e semplice in tempo reale. Inoltre puoi costruire la tua conoscenza osservando come lo fanno.

Una macchina del tempo integrata – perché le minacce potrebbero provenire da qualsiasi luogo

Una delle sfide di un panorama delle minacce in rapida evoluzione è che non si sa mai quale data point sarà prezioso in seguito. Ad esempio, chi avrebbe potuto sapere che il servizio Shadow Copy in Windows sarebbe stato un importante indicatore di sicurezza informatica, prima che gli autori del ransomware non iniziassero a disattivarlo per impedire alle loro vittime di tornare a un file di backup?

Ciò presenta agli sviluppatori XDR una scelta difficile. Una minaccia emergente potrebbe richiedere di controllare qualsiasi cosa, ma il tuo data lake non può archiviare tutto. Per la maggior parte dei clienti, la spesa per la conservazione e l’analisi di una tale quantità di dati sarebbe proibitiva.

Abbiamo trovato una perfetta soluzione. Utilizziamo risorse di riserva sugli endpoint per registrare tutti i dati dei sensori locali, mentre solo i più importanti vengono archiviati nel data lake. In questo modo, quando una nuova minaccia rende importante un nuovo data point, questo è già registrato e facilmente accessibile.

Pensa a un crime drama, in cui i detective identificano un nuovo sospetto e richiedono i filmati CCTV del giorno dagli stabilimenti locali per poter monitorare i suoi movimenti. Le telecamere sono sempre in funzione, ma i nastri vengono guardati solo se nuove informazioni li rendono importanti. È un po’ così.

Sicurezza avanzata degli endpoint per il mondo reale dell’IT

Nel complesso, la parte più importante del nostro modello mentale per XDR è un’idea semplice: deve funzionare come te.

In qualità di professionista IT o di sicurezza informatica, saprai quanto sia inutile cercare di imporre un metodo di lavoro ai tuoi utenti. Se una procedura o un’app non si adatta ai loro scopi, semplicemente la eviteranno, di solito rendendo i tuoi sistemi meno sicuri nel processo.

In un certo senso, è lo stesso per noi quando sviluppiamo le nostre soluzioni. Hai le tue app e i tuoi flussi di lavoro preferiti e c’è sempre qualcosa di nuovo. E potresti voler combinare e abbinare la nostra tecnologia con quella di un altro fornitore. Quindi dobbiamo renderla aperta, estensibile e accessibile. Deve funzionare con te, indipendentemente da come lavori oggi e da come lavorerai in futuro.

Ecco perché abbiamo creato Sophos XDR per adattarsi al tuo modo di lavorare. Conduci le tue indagini e rispondi tu stesso, oppure fallo fare per te a esperti cacciatori di minacce con un servizio gestito. O fai un po’ di entrambe le cose; la soluzione lavorerà con te.

Per saperne di più su Sophos XDR, parla con un rappresentante Sophos o dai un’occhiata alla nostra pagina web. Se stai già utilizzando la piattaforma di gestione Sophos Central, puoi attivare una prova gratuita di 30 giorni di Sophos XDR direttamente dalla tua console utilizzando la funzione Prove Gratuite.