Nel settore della sicurezza informatica, sono molti gli acronimi e le sigle che vengono utilizzate per identificare servizi e funzionalità.

Spesso si rischia di fare confusione tra le varie sigle o non comprendere appieno quali siano le peculiarità e gli elementi

In questo articolo andiamo ad approfondire le principali caratteristiche e differenze tra SOC, SIEM, EDR, NDR, XDR e MDR.

Le differenze tra SOC e SIEM

SOC è l’acronimo di Security Operations Center e rappresenta il “team operativo” cui affidare la sicurezza dei sistemi IT aziendali. Si focalizza non solo su operazioni di sicurezza (come la gestione della sicurezza di un dispositivo), ma anche sulla gestione di minacce e vulnerabilità, monitoraggio proattivo e qualificazione degli incidenti.

SIEM è l’acronimo di Security Information and Event Management. Questo servizio consente non solo il consumo standardizzato di dati di log da più strumenti di sicurezza, ma anche il monitoraggio esteso utilizzando fonti di log personalizzate.

Garantisce una visibilità panoramica di una grande mole di dati, raccogliendo e analizzando gli eventi di sicurezza e le fonti di dati contestuali. 

Il SIEM consente ai team di sicurezza di intraprendere attività di rilevamento delle minacce, gestione degli incidenti e mantenimento della conformità alle normative sul trattamento dei dati. È indicato per le aziende che devono allinearsi alle normative sulla privacy (GDPR).

In che modo SIEM e SOC interagiscono?

La gestione della fase di Response richiede competenze e risorse che possono essere espresse soltanto da un team dedicato in grado di interpretare i risultati dei sistemi SIEM e reagire di conseguenza, adottando le contromisure necessarie per bloccare o arginare eventuali attacchi informatici diretti alla rete aziendale.

È questo il ruolo del SOC (Security Operation Center) che attinge anche a risorse di Threat Intelligence per elaborare le informazioni fornite dai sistemi di protezione e mettere in atto le azioni di Response necessarie per salvaguardare l’integrità dei servizi e delle risorse aziendali.

EDR (Endpoint Detection and Response)

EDR monitora diversi dispositivi finali (computer, smartphone, tablet, server), ma non il sistema di rete.

Per eseguire questa attività, il software EDR analizza gli usi degli endpoint monitorati, in particolare attraverso l’analisi comportamentale.

Questo permette di riconoscere comportamenti che si discostano dal normale in seguito ad una fase di apprendimento, o per comportamenti che sono coerenti con il comportamento comune degli aggressori.

Il vantaggio di EDR è che permette alle aziende di proteggere se stesse contro attacchi conosciuti e sconosciuti analizzando comportamenti sospetti.

NDR (Network Detection and Response)

Il software NDR fornisce una visibilità estesa al team di CyberSOC attraverso la rete per rilevare il comportamento di potenziali attacchi nascosti diretti alle infrastrutture fisiche, virtuali e cloud.

Integra gli strumenti EDR e SIEM e più recentemente, queste tecnologie hanno iniziato a introdurre l’analisi del registro selezionato utilizzando l’intelligenza artificiale e l’apprendimento automatico per integrare l’analisi del traffico di rete grezzo.

L’approccio NDR fornisce una panoramica e un focus sulle interazioni tra i differenti nodi del network.

Questo tipo di visibilità è cruciale dove la rete si estende oltre i data center tradizionali e nel Cloud, nel mondo del Software-as-a-Service.

XDR (Extended Detection and Response)

XDR è un’evoluzione di EDR e ha rimpiazzato il servizio EDR nel mercato della sicurezza informatica. Utilizzando EDR come componente di base, il software XDR cerca di riunire gli approcci precedentemente discussi di EDR e NDR per aiutare i team di sicurezza a risolvere i problemi di visibilità delle minacce centralizzando, standardizzando e correlando i dati di sicurezza da più fonti.

Questo approccio aumenta le capacità di rilevamento rispetto agli strumenti di rilevamento e risposta degli endpoint indipendenti (EDR) o di analisi del traffico di rete (NDR).

XDR analizza i dati provenienti da più fonti (attività e-mail, endpoint, server, reti, flussi cloud, tecnologie di identità come AzureAD o altri provider SSO…) per convalidare gli avvisi, riducendo i falsi positivi e il volume complessivo degli avvisi. Questa unione di indicatori provenienti da più fonti consente a XDR di migliorare l’efficienza dei team di sicurezza.

Differenza tra SIEM e XDR

Le funzionalità del SIEM possono essere utilizzate per una vasta gamma di esigenze di sicurezza, come il rilevamento delle minacce, la conformità, la gestione degli incidenti, l’analisi dei rischi e il monitoraggio operativo, mentre XDR è molto più mirato al rilevamento e alla risposta delle minacce.

SIEM può fare tutto ciò che fa XDR, ma aggiunge funzionalità aggiuntive come reporting, compliance e monitoraggio operativo. 

XDR si concentra su un insieme ristretto di fonti di dati ed è ideale per rilevamenti a basso volume e ad alta precisione per la correzione automatizzata.

MDR – Managed Detection and Response

L’acronimo MDR sta per Managed Detection and Response. Questo servizio gestito di sicurezza informatica permette la difesa e il monitoraggio proattivo 24/7 dell’ambiente digitale, attraverso un processo di rilevamento delle minacce, risposta, analisi e approfondimento.

Il SOC as a Service di CyberTrust 365 e l’approccio alla difesa contro gli attacchi

CyberTrust 365 offre un servizio di SOC in modalità As a Service 24/7, costituito dall’interazione sinergica tra SIEM, MDR, SOAR e Threat Intelligence.

L’obiettivo di CyberTrust 365 è offrire alle aziende una protezione di livello avanzato, caratterizzata da un’intensa fase di rilevamento proattivo e analisi proattiva delle potenziali minacce (Detection), unita alle attività di risposta agli incidenti (Response).

Il valore aggiunto dell’attività di Detection di CyberTrust 365 permette di rimanere al passo con l’evoluzione degli attacchi informatici, e proteggere le aziende rilevando un attacco prima che si manifesti.