Blog WatchGuard

3 consigli su come differenziare XDR da EDR

Le soluzioni di sicurezza informatica si sono evolute da tecnologie di indagine e discovery di base a soluzioni di analisi comportamentale che consentono il rilevamento e la risposta in tempo reale. Tuttavia, per risultare veramente efficaci, devono anche proteggere da comportamenti anomali che possono sembrare di per sé innocui, ma che in seguito, dopo aver formulato una prospettiva più ampia correlando e contestualizzando i rilevamenti, si rivelano incidenti a cui è necessario rispondere il prima possibile.

Il termine "rilevamento e risposta" comprende le tecnologie che mirano a fornire più visibilità, maggiore capacità di identificazione e una risposta più efficiente alle minacce su un'ampia superficie di attacco. E poiché le soluzioni EDR e XDR sembrano simili, può sorgere confusione.

EDR e XDR a confronto

La differenza principale tra le due soluzioni è che XDR è la naturale evoluzione di EDR, in quanto ne estende le capacità. Un esame approfondito mette in luce altre differenze fondamentali, di seguito illustrate:

  • Raccolta dati:

EDR raccoglie i dati telemetrici, che possono includere tipi e volumi specifici di attività che si verificano su un endpoint e qualsiasi entità con cui esso comunica, sia all'interno che all'esterno di un’organizzazione, nonché tipi di dati e file in transito da e verso tale endpoint. XDR, invece, raccoglie i dati da più fonti. Integra la telemetria fornita dalla soluzione EDR, incrociandola con altre fonti, come il traffico di rete o l'attività di identificazione, correlando tali dati e fornendo un contesto più ampio.

  • Analisi dei dati:

Nel caso di EDR, i dati degli endpoint vengono inviati a un motore di analisi EDR che rileva un comportamento anomalo e lo mappa sugli indicatori di attacco (IoA), segnalando la possibile presenza di tipi noti di attività sospette o dannose. Raccogliendo altri dati dall'ambiente, XDR è in grado di identificare la natura e la fonte di qualsiasi attività dannosa rilevata con un significativo livello di sicurezza, riducendo così i falsi positivi e aumentando l'affidabilità e la precisione.

  • Rilevamento e risposta alle minacce:

La tecnologia EDR si avvale dell'intelligenza artificiale (AI), dell'apprendimento automatico (ML) e dell'analisi avanzata dei file per analizzare il comportamento dei dispositivi e identificare minacce e malware avanzati. Inoltre, prevede meccanismi di risposta automatica capaci di azioni come l'invio di avvisi di sicurezza, l'isolamento delle macchine dalla rete e la rimozione o l’interruzione di potenziali minacce. Parallelamente, la tecnologia XDR, grazie alla correlazione su più domini delle attività monitorate da diversi prodotti di sicurezza, fornisce il contesto e i punteggi delle minacce, rileva gli scenari dannosi che potrebbero essere indicatori di compromissione (IoC), riduce il tempo medio di rilevamento (MTTD) e circoscrive rapidamente l'impatto, la gravità e l'ambito della minaccia. XDR inoltre assicura nativamente la risposta orchestrata tra domini, ad esempio la risposta congiunta a livello di endpoint e rete, isolando gli endpoint e bloccando l'indirizzo IP esterno associato all'incidente.

EDR o XDR: quale tecnologia si adatta meglio alle esigenze dei tuoi clienti?

Benché sia vero che EDR e XDR coprono casi d'uso comuni, le tecnologie sono diverse e rispondono a esigenze specifiche. Nel prendere in considerazione l'adozione o la raccomandazione di una di queste soluzioni ai propri clienti, gli MSP dovrebbero accertare la situazione e le capacità attuali dei propri clienti e offrire l'opzione più adatta alle loro esigenze. Gli elementi da valutare includono:

  • Infrastruttura IT:

Il primo passo è determinare quali risorse devono essere protette. La soluzione XDR è ideale per le aziende di medie dimensioni, con personale limitato e carenza di strumenti automatizzati, che dedicano molto tempo all'ordinamento manuale dei rilevamenti, alla gestione degli avvisi e all'accesso a più console allo scopo di raccogliere e contestualizzare le informazioni per definire le modalità di azione di fronte a una minaccia.

  • Conoscenze richieste nell’ambito della sicurezza:

L’implementazione e la gestione efficaci delle soluzioni EDR e XDR richiedono una certa competenza, nonché esperienza in materia di sicurezza e ricerca delle minacce. Se l'azienda si avvale di servizi gestiti, questi aspetti potrebbero non risultare così rilevanti, in quanto tali servizi dispongono del personale qualificato per implementare una di queste tecnologie. Gli MSP che offrono consulenza sulle soluzioni da adottare devono formulare la propria raccomandazione in base alle esigenze del cliente, alla conoscenza degli attacchi informatici, alle dimensioni dello staff e al tipo di infrastruttura dell'azienda.

Sulla base di questi criteri chiave, gli MSP possono guidare le organizzazioni nell'implementazione di soluzioni e servizi. Con WatchGuard ThreatSync, WatchGuard rende disponibili gli strumenti Endpoint Detection and Response (EDR) e XDR ai propri partner, che possono consigliarli ai clienti finali o utilizzarli per fornire servizi a valore aggiunto: entrambe le soluzioni forniscono un elevato livello di automazione nel rilevamento e nella risposta, ma ThreatSync consente un ulteriore passo avanti poiché estende tali funzionalità e orchestra il rilevamento e la risposta su più soluzioni di sicurezza.

Per ulteriori informazioni sulla nostra tecnologia di rilevamento e risposta estesi (XDR), leggi questo articolo: