Trois questions clés à se poser lorsqu’on envisage d’investir dans des offres XDR en 2023…
Dans le paysage actuel de la cybersécurité, les équipes de sécurité ont un besoin urgent d’une plateforme unifiée pour détecter et répondre aux attaques. Pourtant, même avec l’avènement de la technologie XDR (solutions de détection et réponse étendues), les résultats ne sont souvent pas à la hauteur des attentes. Nous nous battons pour une prévention efficace, l’émulation des attaques, des améliorations et des résultats positifs en termes de retour sur investissement. Le royaume de l’ingénierie à distance ajoute sans aucun doute à la complexité, et il devient donc crucial de protéger nos employés, nos données et de maintenir le temps de fonctionnement. Dans un contexte de pressions commerciales croissantes, nous devons comprendre comment la technologie XDR peut contribuer à regrouper les fournisseurs et à gérer la détection et la réponse (MDR).
Il est essentiel d’accepter que le produit unique capable de « tout protéger » n’existe pas (à l’exception peut-être des Vizzerdrixes à 6 modules qui continuent tout de même de nous poser des problèmes longtemps après leur déploiement). Dans les faits, nous assistons à une recrudescence des cyberattaques automatisées qui ciblent non seulement les espaces de travail, mais aussi les identités et les infrastructures cloud.
Au milieu de ce paysage en pleine évolution, le XDR s’est positionné comme une « expansion » de la détection et de la réponse, s’appuyant sur des capacités clés de EDR, NDR, SIEM, SOAR, ITDR, CDR, etc.
En un mot, cet environnement reste confus, mais il nous a permis d’aller de l’avant, de forger des alliances avec les fournisseurs, de promouvoir le partage des menaces et d’affiner les indicateurs de comportement. Sans parler des avancées spectaculaires telles que le test ATT&CK Round 5 de MITRE.
La question reste donc posée : la technologie XDR peut-elle apporter de la valeur à une équipe de sécurité ? Dans ce post, nous nous penchons sur trois questions cruciales qui peuvent aider à déterminer si le XDR fera office de chevalier dans le champ de bataille cybernétique.
1/ Le « X » s’intègre-t-il réellement à ce qui est important pour moi ?
Il existe une avalanche de solutions XDR, certaines assemblées au petit bonheur la chance, comme celles de Frankenstein, d’autres fournissant uniquement des analyses sans prévention ni réponse guidée.
Le premier point de contrôle consiste à évaluer la qualité de l’intégration avec les outils de sécurité dont vous disposez déjà. Où devez-vous améliorer la visibilité et accélérer la détection ? Quels sont les outils qui génèrent déjà des alertes efficaces et qui pourraient bénéficier d’un coup de pouce du XDR ?
2/ Mon équipe est-elle prête à gérer davantage d’alertes ?
Les solutions XDR diffèrent des systèmes de détection de première génération : elles réduisent principalement le bruit des alertes tout en ciblant les activités malveillantes. Le triage des alertes de faible qualité dans des interfaces obsolètes conduit rapidement à l’épuisement. Mais comment évaluer l’efficacité d’une solution ?
Les piles de sécurité modernes ressemblent souvent à un enchevêtrement d’outils, de sorte qu’une gestion efficace est une véritable tâche impossible. Les fournisseurs de MDR couvrent de plus en plus de sources de données et doivent faire face au changement de contexte EDR/SIEM et au chaos des playbooks SOAR. C’est précisément la raison pour laquelle XDR a pris le relais, car il excelle en matière de corrélation, de contexte, de hiérarchisation et d’orientation.
3/ Pouvons-nous tester la simulation d’une attaque pour en montrer l’impact dans notre environnement ?
Si vous avez défini des exigences de conformité ou prévu des exercices de simulation d’attaques, profitez-en pour tester le XDR et en mesurer l’impact. Évaluez son efficacité à prévenir les ransomwares, à détecter les événements bloqués et suspects, et à permettre des contrôles de réponse rapides N’hésitez pas non plus à vous renseigner sur les services gérés proposés par les fournisseurs de solutions XDR, notamment la réponse aux incidents, l’évaluation des risques et le renseignement sur les menaces. Ces services peuvent constituer une aide précieuse pour vos opérations de sécurité.
Le XDR peut fournir une visibilité unifiée, une analyse automatisée et des capacités de réponse guidée. Mais dans la plupart des cas, il ne remplace pas les solutions ponctuelles efficaces, les flux de travail SOAR optimisés ou même le SIEM. Pour faire de l’XDR une réalité, il convient de privilégier la facilité d’utilisation et les défis qu’il peut résoudre dans des domaines comme la détection et la réponse gérées, la réponse aux incidents, la défense contre les menaces mobiles, les ransomwares et les cas d’utilisation de la DFIR. Grâce aux tests de ces cas d’utilisation essentiels, vous serez considéré comme un partenaire en matière de cybersécurité et non comme un simple flux de données vers un autre château du cloud.
____________________________
Par Eric Sun, XDR Director chez Cybereason