On ne parle plus d’antivirus… En matière de défenses des endpoints et des infrastructures contre les malwares et autres menaces , les solutions XDR ont le vent en poupe. Mais attention, derrière ce nom générique se cachent des boucliers et des services bien différents. En d’autres termes, en matière de XDR, toutes les solutions ne se valent pas…
Le marché mondial de la détection et de la réponse étendues (XDR) devrait connaître une croissance considérable au cours de la prochaine décennie. Selon World Wide Technology, il devrait connaître un taux de croissance annuel composé de près de 20 % entre 2021 et 2028, pour atteindre une valeur de 2,06 milliards de dollars à fin 2028.
Au cours de cette période de croissance prévue, les fournisseurs de sécurité qui proposent déjà une solution XDR vont sans aucun doute affiner leurs offres et de nouveaux acteurs vont également se lancer dans l’aventure. Mais cette diversité n’est pas forcément une bonne chose pour les organisations.
Avec autant de solutions XDR disponibles sur le marché aujourd’hui, les organisations doivent faire attention à celle qu’elles choisissent. En effet, toutes les plateformes XDR ne sont pas conçues de la même manière et n’offrent pas le même type de valeur. Voici comment faire le tri.
Filtrage des données : le pire du pire
Il est important de noter que certaines entreprises n’ont pas la possibilité de s’approprier toute la télémétrie disponible pour leurs offres de détection et de réponse aux points d’accès (EDR). Par conséquent, elles ont recours à une technique connue sous le nom de « filtrage des données ». C’est là qu’elles éliminent la télémétrie, qui pourrait pourtant être utile à la détection. Elles n’ont pas le choix ; leur modèle consiste à envoyer toutes les données dans le cloud pour les analyser avant de pouvoir renvoyer une détection.
Malgré tout, cela remet en question la capacité des plateformes de ces entreprises à assurer la sécurité des organisations. En effet, si leurs plateformes ne peuvent actuellement pas traiter toute la télémétrie disponible des points d’extrémité pour effectuer des détections via l’EDR, comment pourront-elles jamais être en mesure d’ingérer efficacement une quantité encore plus grande de télémétrie provenant de sources autres que les points d’extrémité ?
Une solution XDR efficace doit être capable de gérer les influx de télémétrie provenant non seulement des points d’extrémité, mais aussi des charges de travail/conteneurs du cloud, des identités d’utilisateur, d’un éventail de suites d’applications d’entreprise, etc. Alors, peuvent-elles fournir une solution XDR efficace ? Non, c’est impossible, c’est là une réalité basée sur les capacités de la plate-forme.
Native XDR contre Open XDR
Après le filtrage des données, il est important de distinguer le « Native » XDR x du « Open » XDR . Le premier exécute la fonctionnalité XDR en s’intégrant aux solutions « natives » qui appartiennent au même portefeuille de fournisseurs. Ce type d’offre évite aux équipes de sécurité de devoir passer beaucoup de temps à configurer leurs plates-formes XDR et de devoir passer par un processus d’achat compliqué pour toutes leurs différentes solutions. Mais les avantages s’arrêtent là.
Le Native XDR risque d’enfermer les organisations dans un état de « verrouillage du fournisseur », où elles sont coincées avec les solutions d’une seule entreprise qui ne répondent pas à toutes leurs exigences de sécurité. Certaines d’entre elles pourraient également devoir remplacer une partie de leurs technologies existantes pour utiliser pleinement un produit XDR natif, ce qui réduirait le ROI de leurs investissements actuels.
Ces inconvénients ne s’appliquent pas à l’Open XDR (également appelé « hybride »). Cette approche permet aux organisations d’intégrer leurs plateformes XDR avec les solutions les plus performantes qui leur conviennent. Oui, elles devront passer par des processus d’achat indépendants pour ces outils et les intégrations pourraient ne pas être aussi rigoureuses qu’elles le seraient sous une plateforme XDR native.
Quoi qu’il en soit, elles peuvent utiliser l’Open XDR pour travailler avec des outils qui répondent à leurs exigences de sécurité au fur et à mesure qu’elles évoluent. Elles n’auront pas non plus besoin de remplacer leurs investissements existants (si tant est qu’ils leur conviennent encore) par une plateforme Open XDR.
XDR traditionnel contre XDR avancé
La différence entre le XDR native et l’open XDR est un cran au-dessus de la différence entre une solution XDR traditionnelle et avancée. Cette distinction a trait à la manière dont une plateforme XDR recueille les données et aux types d’incidents de sécurité qu’elle peut ainsi contribuer à mettre en lumière.
Le XDR traditionnel est simple. Il s’intègre aux renseignements sur les menaces pour repérer les indicateurs de compromission (IOC) des attaques déjà connues. La plateforme XDR aide ensuite les équipes de sécurité à répondre à ces incidents, mais les analystes doivent trier manuellement toutes les alertes pertinentes, puis lancer la tâche consistant à essayer de les corréler pour déterminer lesquelles sont liées à un événement de sécurité réel et tenter de répondre à la question « sommes-nous attaqués ? ». Cela peut prendre du temps, ce qui donne aux cyberattaquants l’occasion de mieux infiltrer les systèmes des organisations
Le Advanced XDR va encore plus loin dans cette approche en automatisant les tâches de triage et de corrélation qui prennent beaucoup de temps. Non seulement il s’intègre aux renseignements sur les menaces, mais il utilise également l’intelligence artificielle (IA) et l’apprentissage automatique (ML) pour fournir des corrélations riches en contexte basées sur la télémétrie provenant de sources hétérogènes dans l’ensemble des actifs des organisations.
L’Advanced XDR ne fournit pas seulement une visibilité sur l’ensemble de la kill chain, mais aussi une réponse prédictive automatisée, élevant les capacités des analystes de niveau 1 et 2 au même niveau que les compétences de niveau 3, ce qui augmente à la fois l’efficacité et l’efficience.
XDR alimenté par l’IA
Heureusement, les organisations ne doivent pas se contenter de solutions XDR incomplètes. Il est possible d’opter pour une solution XDR pilotée par l’IA qui fournit l’historique complet des attaques en temps réel et étend la détection et la surveillance continues des menaces, ainsi que la réponse automatisée au-delà des points d’extrémité pour protéger les applications, les outils d’identité et d’accès, les charges de travail en nuage conteneurisées, etc.
La solution XDR basé sur l’IA ingère également des flux de renseignements sur les menaces pour permettre aux organisations de se défendre contre les attaques connues et utilise l’IA et l’apprentissage automatique (ML) pour corréler automatiquement la télémétrie de ces différents actifs afin de fournir l’histoire complète de l’attaque en temps réel. Cette fonctionnalité évite aux analystes de sécurité de devoir trier chaque alerte générée, leur permettant ainsi de s’attaquer plus rapidement aux menaces réelles.
Le XDR piloté par l’IA exploite également l’analyse comportementale et les indicateurs de comportement (IOB) pour fournir une perspective plus approfondie sur la façon dont les attaquants mènent leurs campagnes. Cette approche centrée sur les opérations est bien plus efficace pour détecter les attaques à un stade plus précoce, et notamment les attaques hautement ciblées qui utilisent des outils et des tactiques jamais vus auparavant et qui échappent aux logiciels traditionnels de sécurité des points d’extrémité.
La découverte d’un composant d’une attaque via des chaînes de comportements potentiellement malveillants permet aux défenseurs de voir l’ensemble de l’opération de la racine à chaque utilisateur, appareil et application touchés. C’est là que la XDR pilotée par l’IA est essentielle pour corréler automatiquement les données à un rythme de millions d’événements par seconde, alors que les analystes interrogent manuellement les données pour valider les alertes individuelles pendant plusieurs heures, voire plusieurs jours.
Cette transparence permet aux équipes de sécurité de réagir à un événement avant qu’il ne devienne un problème de sécurité majeur et de déployer des mesures conçues pour renforcer la pression sur les attaquants à l’avenir.
___________________
Par Joël Mollo, Vice-Président, Cybereason France