Identificare e arrestare attacchi e minacce cyber: è questo l’obiettivo di Cortex XDR di Palo Alto Networks, una soluzione di eXtended Detection and Response che sfrutta l’analisi comportamentale e l’apprendimento automatico per rilevare gli attacchi, aggregando gli avvisi in modo efficiente e organizzato.

Palo Alto considera l’agente Cortex XDR un punto di forza particolare, poiché sfrutta il rilevamento di malware, il firewall basato su host, la crittografia del disco e la gestione dei dispositivi USB basata su policy.

Il processo di triage e indagine è supportato dall’analisi automatizzata delle cause principali e dal reporting della sequenza degli attacchi.

Inoltre, vengono generati report e artefatti sugli incidenti con una suddivisione dettagliata dei vettori di attacco, della portata e dell’impatto.

Il costo di un abbonamento a Cortex XDR di Paolo Alto Network si colloca intorno ai 15.000 dollari annui in base alla versione richiesta o proposta commerciale avanzata; quindi, è proponibile sia a medie aziende che grosse realtà, anche se grosse realtà si accomodano meglio ad altri prodotti concorrenti.

Ad ogni modo si tratta di un prezzo competitivo che anche una piccola azienda potrebbe abbordare se si calcola la magnitudine di difesa proposta.

Attacchi state-sponsored: cosa sono e come contrastarli migliorando le capacità di cyber difesa

Come lavora Cortex XDR: il suo modus operandi

La piattaforma Cortex XDR possiede un motore AI e caratteristiche di Machine Learning. In base all’analisi comportamentale estesa pure con i log raccolti da dispositivi di vari tipi, è in grado di rilevare e agire in tempo reale sui malware, evitando che gli endpoint vengano compromessi.

Il proprio agente, molto leggero, agisce sulle minacce facendo uso della protezione basata su metodi comportamentali, la AI e l’analisi focalizzata su Cloud.

È un sistema già visto e applicato ad altri XDR, ciò non toglie che si tratti di un sistema altamente collaudato che dà valore aggiunto al prodotto. Ricordiamo che nelle realtà aziendali italiane troviamo una grossa disparità tecnologica all’interno del proprio parco macchine, in base alle applicazioni dedicate per ogni dispositivo.

Cortex XDR si adopera dell’apprendimento automatico per configurare un set di comportamento e rilevare stranezze che possano indicare un attacco o fenomeno anomalo. Cortex XDR offre un eccellente prevenzione delle minacce, rilevamento e controlli degli accessi che abbracciano endpoint, IoT, rete e applicazioni Cloud.

Un’analisi del comportamento di Cortex XDR

Cortex XDR è in grado di bloccare minacce avanzate, come per esempio attacchi SolarWinds alla supply chain, exploit di vulnerabilità Log4Shell e non meno pure PrintNightmare. Si presta molto bene ad eliminare problemi di aree isolate di dati che rallentano risposte agli incidenti.

Monitorando in modo complessivo problemi presenti nella rete, negli endpoint e dentro al Cloud, utilizza sistemi di machine learning e analisi per migliorare le varie fasi delle operazioni di sicurezza.

Cortex XDR definisce anche il rilevamento e la risposta aumentando le capacità dei gruppi IT e ottimizzando le varie fasi delle operazioni di cyber security.

Tutti i dati di origine perimetralmente opposte vengono unificati, correlati e analizzati da questo XDR. I metodi di machine learning vengono aggiunti al comportamento del profilo per rilevare attacchi stealth.

Il suo potente motore di query offre basi certe per la ricerca delle minacce, mentre regole personalizzate permettono di utilizzare le tabelle acquisite per indagini e rilevamento di minacce future.

Alcune delle funzionalità proprie di Cortex XDR

Oltre alle caratteristiche appena viste, Cortex XDR possiede anche la capacità di identificare automaticamente attacchi mirati, minacce interne e malware passando all’analisi dati complessi attraverso l’utilizzo di machine learning.

Con l’aiuto dell’analisi comportamentale trova automaticamente minacce con velocità e precisione sorprendente, e le regole per il rilevamento adattabili consentono all’IT e gruppi di cyber security di alzare scudi contro tecniche e tattiche di attacco evitando automaticamente l’intervento dei team.

Agile nella tracciatura per agli analisti di sicurezza, infatti bastano pochi click per identificare le cause e vedere la cronologia degli eventi per ogni avviso di sicurezza.

L’analisi del contesto per le attività di rete, gli endpoint e la parte Cloud semplifica ricerche complesse, e rende meno noiosa la gestione degli avvisi accelerando le indagini.

Questo XDR si integra perfettamente con i punti di controllo e permette la gestione istantanea della risposta.

I dati acquisiti possono essere utilizzati per eventi futuri, implementando le proprie regole di rilevamento per proteggersi dalle nuove minacce o per dare valore al contesto delle indagini. Vivendo su Cloud, Cortex XDR non ha le problematiche di gestione e scalabilità dei classici prodotti on-premise di detect & responce.

Cortex XDR fa un analisi di tutti gli endpoint presenti sulla rete e invia i dati al “Cortex Data Lake”, una repository per grandi volumi di dati preposta all’analisi comportamentale che consente di sfruttare gli archivi di sicurezza già presenti.

Traps 6.0 di Cortex XDR è un prodotto avanzato per la prevenzione di malware, virus, troyan ed exploit, preposto a protegge gli endpoint grazie alla protezione comportamentale. Diversamente dei classici antivirus, Traps determina e arresta anche le attività sospette di attacco vigilando sequenze malevole di comportamenti dei vari processi, interrompendo queste manovre alla nascita. Protegge anche i container Linux, il formato Linux ELF e la raccolta di dati avanzati.

L’analisi dei dispositivi in base alle attività monitorate

Come descritto sopra basandosi sul machine learning, Cortex XDR profila continuamente il comportamento di endpoint, rete e utente, per scoprire attacchi sofisticati e se viene utilizzato assieme a NGAV, host firewall di Palo Alto, disk encryption e si utilizza il controllo completo degli endpoint è letteralmente imbattibile come XDR.

Per descrivere in un paragrafo il suo lavoro, è in costante “threat detection and responce”, rilevando minacce, attacchi a credenziali, data breach, malware, il tutto anche attraverso l’analisi comportamentale degli utenti.

Possiede un sistema intelligente di Incident Management, con un sistema di catalogo per priorità che consente di concentrarti sulle minacce più rilevanti. L’agent presso gli endpoint analizza il comportamento degli stessi, tenendo in memoria le attività per poi riversare in rete il contenuto di questi dati per essere analizzati in tempo successivo.

Per giunta, se si rilevano problematiche per comportamenti sospetti, isola l’enpoint dalla rete, avvisa prontamente il monitoraggio, popola i log e invia le segnalazioni al “Cortex Data Lake”. E’ un prodotto molto sveglio sulla parte intromissione endpoint, infatti possiede anche una gestione sicura dei dispositivi USB basata su un sistema pre-set di policies.

Molto comodo per la parte IT e gruppi di Cybersecurity aziendali in quanto Unifica il reporting, la gestione, il triage e la risposta attraverso un’unica console intuitiva, e a problema risolto ha la capacità di ripristinare gli oggetti monitorati all’integrità flash originale.

Note positive di Cortex XDR, oltre ai meriti già descritti

Come evidenziato in questo articolo, Cortex XDR è una soluzione molto efficace per proteggere reti di medie e grandi dimensioni e numerosi endpoint.

È molto efficace in quanto la sua automazione è molto elevata e, se si combina con le funzionalità dei firewall Palo Alto, fornisce una protezione molto potente.

Di conseguenza può venire al caso di ogni azienda anche se sembra un prodotto impostato come detto prima, per medie realtà.

Alcune penalità che gravano sul prodotto

A lungo termine sul suo utilizzo, sembra essere più focalizzato sulla comunicazione di rete che sul device guard. È più un sistema orientato alla comunicazione che un sistema orientato alla sicurezza dei contenuti.

Abbiamo notato che se un cliente vuole aumentare il livello di protezione e iniziare a lavorare con protezione personalizzate per documenti oltre alle features entry point, è impossibile integrare queste funzionalità nel sistema. Quindi dal nostro punto di vista l’integrazione può essere migliorata in quanto la sua implementazione è piuttosto complessa.

Un’altra nota da sottolineare è che nel trascorrere del tempo, Palo Alto Networks ha cambiato le sue licenze e alcune funzionalità che inizialmente erano gratuite, ora hanno un costo.

Non sempre gli aggiornamenti sugli endpoint sono semplici e automatici, al massimo ogni due mesi viene aggiornata la versione, quindi, è necessario assicurarsi che i dispositivi vengano aggiornati.

Conclusioni

Senza alcun dubbio ci troviamo d’avanti ad un prodotto di punta, con caratteristiche uniche se focalizzate a piccole e medie imprese.

Alcune politiche commerciali aziendali di Palo Alto Networks andrebbero riviste perché potrebbero gettare ombre inutili sulla grande validità tecnica del prodotto. Può assumersi che le caratteristiche positive di questo prodotto fanno di lui una vera arma di battaglia per la difesa aziendale.

Posso azzardare di consigliare questo XDR che nel complesso offre sempre delle grandi soddisfazioni e leva problematiche dal tavolo degli IT e gruppi di auditing con gli automatismi che ospita.

@RIPRODUZIONE RISERVATA