Le XDR est désormais partout, et il semble que chaque entreprise soit en train de déployer une stratégie et des produits pour répondre à la demande croissante. Mais des mythes autour du XDR persistent. Il est temps de tordre le cou à quelques idées reçues.
Savez-vous ce que signifie XDR ? C’est l’abréviation de Extended Detection and Response à savoir, “détection et réponse étendues.”
Selon le cabinet d’analystes Gartner, le XDR est « un outil de détection des menaces de sécurité et de réponse aux incidents, basé sur le modèle SaaS et spécifique à un fournisseur, qui intègre nativement plusieurs produits de sécurité dans un système d’opérations de sécurité cohérent qui unifie tous les composants sous licence« .
Malgré l’adoption massive de la solution XDR, plusieurs idées fausses circulent encore à son sujet, et nous allons en démystifier trois :
Mythe 1 : le XDR ne concerne que la sécurité des points d’accès
Non, la sécurité des points d’accès c’est ce que fait l’EDR (la détection et la réponse aux points d’accès), et l’EDR n’est qu’un aspect de la solution XDR. Les solutions EDR se concentrent uniquement sur les points d’extrémité et ne mettent pas en corrélation les renseignements provenant du cloud et d’autres parties de l’infrastructure d’une organisation.
En fait, la plupart des plates-formes EDR ne sont même pas capables d’ingérer toute la télémétrie pertinente des points d’extrémité et sont obligées de « filtrer » les renseignements sans même savoir si ces informations sont essentielles pour effectuer une détection, car les solutions ne peuvent pas gérer les volumes de données générés.
En effet, certains fournisseurs ne sont tout simplement pas en mesure d’ingérer toute la télémétrie disponible pour l’EDR, alors qu’ils prétendent être capables de fournir une solution XDR qui ingère les données des points d’extrémité ainsi qu’un ensemble de télémétries provenant de nombreuses autres sources sur le réseau et dans le cloud.
Le filtrage des données a un impact négatif sur la capacité à déjouer les attaques de manière proactive, car il omet la télémétrie qui pourrait permettre de détecter plus tôt les activités malveillantes. Lorsqu’il est élargi aux sources non terminales, le filtrage des données peut encore fausser la visibilité d’une organisation sur les menaces auxquelles elle est confrontée.
Le XDR ne souffre pas de ces limitations. Il étend la détection et la surveillance continues des menaces ainsi que la réponse automatisée aux points d’extrémité, aux applications, aux charges de travail dans le cloud et au réseau… le tout sans filtrage des données. Et cela contribue à garantir la haute performance de la détection des menaces produite par le XDR.
Mythe 2 : le XDR doit être complété par un SIEM
Il est vrai que le XDR offre certaines des mêmes fonctionnalités que les outils SIEM (Security Information and Event Management). Leur principale similitude réside dans leur capacité à regrouper et à corréler des données provenant de diverses sources réparties dans l’infrastructure de l’entreprise, ce qui permet d’obtenir la visibilité nécessaire à la détection, à l’investigation et à la réponse aux menaces.
Mais il existe plusieurs facteurs clés qui freinent les SIEM. Les SIEM ne sont rien sans la structure de lac de données et les analyses cloud dont ils ont besoin pour centraliser les événements de sécurité. Ces ressources varient dans les types et la qualité des données auxquelles elles ont accès, une réalité qui affecte la valeur et l’efficacité d’un SIEM.
Il faut également tenir compte des coûts, du temps et des autres ressources nécessaires à la création, au réglage et à la maintenance d’un SIEM. Ce point est primordial car ces outils génèrent fréquemment des faux positifs et un gros volume d’alertes.
Ce bruit contribue à la « fatigue d’alerte » dans l’organisation, ce qui incite les experts IT à négliger le déluge d’alertes qui leur parvient et à manquer des occasions de lancer des enquêtes dès les premiers signes d’une attaque. Dans le même temps, les SIEM ne font pas grand-chose pour aider les équipes de sécurité à exécuter une réponse, si ce n’est générer un grand nombre d’alertes qui doivent être triées manuellement.
Le XDR, en revanche, ne nécessite aucune structure de lac de données. Il met en corrélation les alertes sur des actifs réseau disparates pour fournir des renseignements exploitables qui réduisent la lassitude à l’égard du trop grand nombre d’alertes. De plus, le XDR permet aux équipes de sécurité d’élaborer des plans d’action automatisés à l’aide de la plateforme elle-même, ce qui simplifie la réponse.
Mythe 3 : Toutes les plates-formes XDR sont identiques
Non. Il faut tenir compte du fait qu’il existe un XDR hybride/ouvert et un XDR natif. Le XDR natif offre uniquement des intégrations à d’autres outils de sécurité développés par le même fournisseur. Cela peut enfermer les clients dans un accord avec un fournisseur qui n’offre peut-être pas les capacités de sécurité dont ils ont besoin pour protéger leurs systèmes et leurs données. Cela signifie également qu’il est compliqué de se porter sur les solutions d’autres fournisseurs.
En revanche, la solution XDR ouverte (ou hybride) adopte une approche collective qui exploite plusieurs outils de sécurité, fournisseurs et types de télémétrie pour répondre aux besoins des entreprises à partir d’une seule plate-forme de détection et de réponse. Il n’y a pas de verrouillage des fournisseurs. Les équipes de sécurité sont libres de choisir les fournisseurs et les outils qu’elles souhaitent, ce qui leur permet de tirer le meilleur parti de leur plateforme XDR, et les intégrations DevOps et API permettent au personnel de réunir ces outils et sources de télémétrie.
Il y a également lieu de s’interroger sur ce qui définit une offre XDR véritablement mature par rapport aux solutions pseudo-XDR qui ne sont rien d’autre qu’un outil EDR avec une intégration dans le cloud. Toutes les plateformes XDR s’intègrent aux renseignements sur les menaces pour repérer les indicateurs de compromission (IOC) connus, mais seule une solution XDR avancée peut détecter les indicateurs de comportement (IOB).
Les IOB sont les signes les plus subtils d’une attaque en cours, qui incluent des activités par ailleurs bénignes que l’on s’attendrait à voir se produire sur un réseau. Lorsque ces comportements « légitimes » sont enchaînés dans certaines séquences, ils produisent des conditions qui sont soit extrêmement rares, soit qui représentent un avantage distinct pour un attaquant.
C’est là que les corrélations riches en contexte entre les points d’extrémité, le cloud, les suites d’applications et les identités des utilisateurs qu’offre une solution XDR mature sont essentielles pour détecter les activités malveillantes dès les premiers stades d’une attaque.
Prenons l’exemple des attaques par ransomware : la plupart des solutions de sécurité se concentrent sur la détection de l’exploit et le blocage de la charge utile du ransomware, ou sur l’annulation du chiffrement après le succès de l’attaque. Mais la détonation de l’exécutable du ransomware n’est qu’une infime partie de ce qui est en fait une séquence d’attaque beaucoup plus grande, avec des semaines, voire des mois, d’activité détectable, de l’intrusion initiale au mouvement latéral, en passant par l’abus d’identifiants et l’escalade de privilèges, pour n’en citer que quelques-uns.
Une solution XDR pilotée par l’IA peut établir les corrélations nécessaires pour détecter cette activité bien avant que la charge utile du ransomware ne soit délivrée, réduisant une attaque potentiellement dévastatrice au niveau d’une simple tentative d’intrusion.
En outre, la capacité à exploiter l’IA/ML pour corréler la télémétrie de l’ensemble de l’infrastructure d’une entreprise est l’aspect essentiel d’une solution XDR mature. L’application de l’IA/ML permet aux professionnels cyber de passer d’un mode de détection et de réponse à une posture plus proactive de « réponse prédictive », où les prochaines étapes qu’une attaque peut et veut entreprendre sont instantanément anticipées et bloquées, éliminant ainsi la possibilité de faire passer l’attaque à l’étape suivante.
Cette capacité prédictive est la clé de l’avenir de la cybersécurité, car elle permet aux organisations de se défendre en amont en comprenant les attaques à partir d’une approche centrée sur les opérations. Seule une solution XDR pilotée par l’IA peut offrir cette capacité de « réponse prédictive » qui réduira les périodes de détection et de remédiation de plusieurs jours ou semaines à quelques minutes.
L’avantage de la solution XDR pilotée par l’IA
Une solution XDR pilotée par l’IA permet ainsi aux organisations d’adopter une approche de la sécurité centrée sur les opérations. Elle offre la visibilité dont ont besoin les professionnels de la cyber pour être sûrs de leur posture de sécurité sur l’ensemble des actifs du réseau, et ainsi mettre en place les réponses automatisées permettant de stopper la progression des attaques dès les premiers stades.
Cette approche fournit également aux défenseurs la capacité de prédire, de détecter et de répondre aux cyberattaques dans l’ensemble de l’entreprise, y compris les points de terminaison, les réseaux, les identités, le cloud, les espaces de travail des applications et plus encore. Elle est donc totalement adaptée à la nouvelle organisation hybride du travail.
___________________
Par Joël Mollo, VP, Cybereason France
À lire également :
> Trois raisons de faire de la technologie XDR la pierre angulaire des stratégies de sécurité.
> XDR : Garantir la sécurité du secteur financier, aujourd’hui comme demain.
> Cinq conseils pour choisir une plateforme de renseignement sur les menaces (TIP).
> L’IA de Cybereason, rempart contre les cyberattaques
> Stratégie centrée sur les opérations : prendre le dessus sur les cybercriminels!
puis