Cet article examine la façon dont il faut considérer le XDR comme un mélange de services et de technologies capable de renforcer la pérennité de la sécurité au sein de votre entreprise.
XDR est une nouvelle offre de services prometteuse ! XDR est une nouvelle technologie de plateforme ! Mais qu’en est-il vraiment ? Si vous optez pour l’une au détriment de l’autre, cela pourrait compromettre sérieusement votre stratégie de sécurité.
Cet article examine la façon dont il faut considérer le XDR comme un mélange de services et de technologies capable de renforcer la pérennité de la sécurité au sein de votre entreprise.
Au-delà des exagérations marketing, prenons le temps de considérer le concept de détection et de réponse étendues (XDR) et ce qu’il propose.
● Supprimer les silos technologiques à partir de plusieurs technologies de sécurité
● Identifier les attaques avancées qui utilisent de plus en plus des techniques « living of the land » et des exploits de type zero-day.
● Fournir une remédiation rapide, évolutive et automatisée.
Un défi de taille, c’est certain.
Aussi utopique que cela puisse paraître, c’est certainement l’objectif que nous souhaitons tous pour nos opérations de sécurité. C’est un objectif vers lequel toutes les entreprises devraient aspirer à un moment ou à un autre.
Mais comme l’a compris la Communauté de l’Anneau : envisager de détruire l’anneau et le détruire réellement sont deux choses très différentes.
Le système XDR (Extended Detection and Response) révolutionne la cybersécurité grâce à une plateforme unifiée qui fusionne des données télémétriques provenant de multiples sources pour renforcer la détection et la réaction face aux menaces. XDR transcende les simples alertes de sécurité traditionnelles et cloisonnées en utilisant des analyses avancées et l’intelligence artificielle pour détecter de manière efficace les menaces complexes…
Il automatise aussi les réponses, simplifie les opérations de sécurité et libère du temps pour les équipes, pour leur permettre de se concentrer sur des tâches plus stratégiques.
On parle souvent des défis que présente XDR … les limitations dans certaines intégrations technologiques, voire les lacunes potentielles dans les solutions XDR natives ou dans les capacités de détection.
Nous avons remarqué que les solutions XDR reposaient souvent sur un seul driver central, tel que l’alerte de détection et de réponse des points d’accès, auxquels s’ajoutent des données supplémentaires et/ou des alertes provenant d’autres outils de sécurité.
Mais imaginez à quoi cela pourrait ressembler… une alerte sur les points d’accès, agrégée à cinq cents alertes provenant des pare-feu UTM. Ça ne sert à rien.
Cela nous amène à aborder le problème de la quantité excessive d’alertes. Les équipes SOC vivent dans un monde saturé d’alertes provenant de différents fournisseurs et sont censées les examiner et les connecter entre elles. Cela engendre une certaine fatigue et augmente le risque de passer à côté d’une pièce essentielle du puzzle.
C’est une partie du problème que Cybereason EDR s’est efforcé de résoudre il y a 10 ans. Aujourd’hui, c’est le même défi qui se pose pour l’ensemble de la pile de sécurité d’une entreprise.
Comment surmonter cet obstacle pour garantir que le déploiement éventuel de XDR soit bénéfique et comment maximiser rapidement le retour sur investissement ? Mais la vraie question est comment s’assurer que l’on améliore réellement la cyber-résilience de son entreprise ?
Penchons-nous sur la pile de sécurité actuelle. La plupart du temps, vous avez souscrit à un contrat sur plusieurs années, avez formé votre équipe et demandé qu’elle obtienne des certifications. Vous avez également probablement intégré ces technologies dans vos politiques et processus de sécurité. Imaginez maintenant le bouleversement que représente remplacer ces technologies pour qu’une solution XDR puisse tenir ses promesses ?
Ce problème peut être résolu à l’aide d’un cadre XDR ouvert qui contribue à diminuer significativement le volume d’alertes en consolidant la sécurité en une entité plus gérable.
Il est essentiel d’associer les plateformes XDR alimentées par l’IA à un service géré qui peut fournir une vision et une analyse expérimentées pour renforcer la corrélation des données télémétriques et la logique de détection qui peut leur être appliquée. Mettre en évidence le véritable cheminement de bout en bout des cyberattaques modernes et complexes.
L’un des principaux avantages d’un service géré avec XDR est bien sûr la promesse d’une surveillance 24h/24, 7j/7 et ce, tous les jours de l’année. Si vous envisagez d’opter pour une solution XDR, il est très probable que vous et votre équipe ne disposiez pas d’un nombre d’analystes en sécurité ou du temps nécessaire pour mener des enquêtes.
Il est peu probable que, même avec une solution XDR consolidée, vous disposiez d’une équipe suffisante pour surveiller l’intégralité de votre infrastructure de sécurité et détecter les alertes à 03h48 le jour de Noël, bien que certaines entreprises puissent faire exception.
Comment cette approche stratifiée peut-elle être mise en œuvre dans le monde réel ? Récapitulons et résumons les trois composantes que nous avons abordées.
● Intégration de sources de données tierces
● Corrélation et agrégation des alertes de tiers.
● Superposition d’un service dédié et géré.
Traitons tout d’abord des alertes tierces, telles que celles provenant de la solution d’identité, des services cloud et des dispositifs de sécurité réseau. L’objectif le plus saillant ici est de s’assurer que votre service XDR peut ingérer les alertes de votre pile de sécurité existante. Si certaines organisations peuvent être heureuses de passer à une solution XDR d’un seul fournisseur, la grande majorité d’entre elles rechercheront un retour sur investissement rapide. Vous voudrez tirer parti de vos dépenses existantes et utiliser les contrôles de sécurité dans lesquels vous avez déjà investi.
Passons maintenant à la corrélation. Avec la logique de détection appliquée, c’est là que la technologie XDR offre le plus d’avantages. En ce qui concerne la corrélation, il y a deux voies à considérer : La corrélation AI/ML qui se produit indépendamment ou la corrélation qui est basée et centrée sur un moteur principal, tel qu’une alerte EDR utilisée comme dénominateur commun.
Lorsque des attaques se produisent, nous sommes engagés dans une course contre la montre. La corrélation doit donc se faire en temps quasi réel. Sinon, quel est l’intérêt de s’éloigner du SIEM si nous nous contentons de détections « après coup » ?
L’idée de compléter le système XDR par un service géré n’était peut-être pas le projet initial de tout le monde, mais l’idée d’unifier la pile technologique pour qu’elle fonctionne de manière cohérente, avec une capacité de surveillance 24x7x365 qui fournit des conseils supplémentaires, est souhaitable. Surtout si l’on fait un zoom arrière et que l’on se concentre sur les résultats obtenus : réduction du MTTD, réduction du MTTR et amélioration de la cyber-résilience.
Les solutions XDR disponibles aujourd’hui présentent de nombreuses variantes – certaines offrent tout ce qui précède, d’autres ne proposent qu’un élément de ce que nous venons d’évoquer. Quelle que soit la solution XDR que vous choisissez de déployer et de mettre en œuvre, assurez-vous qu’elle peut répondre à vos besoins d’aujourd’hui et de demain.
