Monitoraggio e risposta con Palo Alto Cortex Xsiam

Al posto del Siem, il Security Information and Event Management, Palo Alto Networks propone lo Xsiam, acronimo che sta per Extended Security Intelligence & Automation Management. Un po’ come sta accadendo con il passaggio dall’Edr, l’Endpoint Detection and Response, alle più attuali tecnologie di Xdr (la X sta anche qui per Extended, o in alcune declinazioni per Everything), anche le piattaforme che rilevano, correlano e analizzano dati di cybersicurezza si stanno evolvendo per comprendere un maggior numero di fonti e per riuscire a riconoscere gli attacchi più sofisticati e a reagire rapidamente grazie all’automazione.

Più precisamente, una piattaforma Xsiam raccoglie dati granulari, e non soltanto log e alert, per guidare il machine learning verso azioni di risposta nativamente autonome, come la correlazione incrociata di alert e dati, il rilevamento di minacce emergenti altamente sofisticate e la remediation automatica (basata su threat intelligence nativa e su dati della superficie di attacco). Con questo arsenale di tecnologie che lavorano in sincrono, lo scopo principale che si ottiene è una forte accelerazione dei tempi di risposta alle minacce in ingresso, “da giorni a minuti”, assicura Palo Alto.

Le piattaforme Siem per molti anni hanno supportato le attività di cybersicurezza, permettendo di correlare dati ed eventi, di analizzare log e alert. Oggi, però, l’enorme crescita dei dati e la pericolosità degli attacchi hanno intaccato l’efficacia di questo strumento. Da questo scenario nasce Cortex Xsiam, una piattaforma di sicurezza autonoma, alternativa al classico sistema Siem, basata sul cloud. Opera raccogliendo dati di telemetria (log, accessi, eventi) da una molteplicità di fonti e li combina con la threat intelligence, con l’intelligenza artificiale e con l’automazione.

“Le organizzazioni stanno ancora impiegando ore, o addirittura giorni o mesi, per porre rimedio alle minacce”, ha commentato Nikesh Arora, Ceo e presidente di Palo Alto Networks, “e sono ore e giorni persi, data la velocità e la sofisticazione di attacchi ormai comuni. Il concetto di Siem è rimasto immobile e si basa ancora pesantemente su flussi di lavoro guidati dall'uomo. Non serve un approccio evolutivo in quest’area, ma rivoluzionario. Dobbiamo radicalmente ridefinire come utilizzare la cybersecurity con l'intelligenza artificiale, per consentire che un'azienda sia in grado di rispondere a tutti gli attacchi in tempo reale, non in giorni, settimane, o mesi".

(Dal sito di Palo Alto Networks)

Come funziona Cortex Xsiam? In sostanza, permette di ottenere tre risultati. Il primo è costruire una base di dati intelligenti riducendo i costi: la piattaforma può acquisire, normalizzare e integrare nativamente i dati granulari in tutta l'infrastruttura di sicurezza “a quasi la metà del costo di listino dei prodotti di sicurezza legacy che tentano di risolvere il problema”, assicura Palo Alto. Il secondo è la già citata riduzione dei tempi di risposta, dall’ordine di giornate a minuti, grazie all’automazione della correlazione degli alert e di altri dati e grazie a un motore di raccomandazione “self-learning” che determina le mosse da compiere passo passo.

Il terzo risultato è una difesa proattiva, attraverso il rilevamento continuo delle vulnerabilità in base all’analisi della superficie d’attacco e a informazioni di threat intelligence (tratta dai dati di migliaia di clienti di Palo Alto). Cortex Xsiam è al momento un’anteprima riservata a un “numero limitato di clienti” e non è stata comunicata la sua data di lancio in disponibilità generale. Sarà, in ogni caso, prima della fine dell’anno.