Qu'est-ce que la technologie XDR ?

La technologie XDR (eXtended Detection and Response) est la nouvelle frontière en matière de sécurité et de prévention axées sur les menaces. Le XDR est une approche globale qui simplifie l'acquisition de données de sécurité, l'analyse et les flux de travail à l'échelle de l'infrastructure de sécurité d'une entreprise dans le but d'améliorer la visibilité sur les menaces avancées et dissimulées et d'unifier l'intervention. Une solution XDR collecte et met en corrélation les données des endpoints, des workloads cloud, des réseaux et de la messagerie. Elle procède ensuite à leur analyse et à leur priorisation avant de les envoyer aux équipes de sécurité dans un format normalisé via une console unique.

La technologie XDR coordonne les outils de sécurité cloisonnés et leur apporte une valeur ajoutée en unifiant et en rationalisant l'analyse, l'investigation et la correction au sein d'une console unique consolidée. En conséquence, elle améliore considérablement la visibilité sur les menaces, accélère les opérations de sécurité, diminue le coût total de possession et simplifie le perpétuel problème de dotation en personnel de sécurité.

NOUVEAU RAPPORT DE FORRESTER SUR LE XDR

Téléchargez le rapport complet pour découvrir les fonctionnalités essentielles et la stratégie future concernant le XDR.

Télécharger

XDR, EDR ou MDR

Les solutions de détection et d'intervention sur les endpoints (EDR) surveillent les terminaux des utilisateurs finaux – ordinateurs de bureau, ordinateurs portables, tablettes et téléphones – pour débusquer les menaces qui échappent aux logiciels antivirus. Ces menaces persistantes avancées (APT) ont souvent recours à des techniques dépourvues de logiciels malveillants pour accéder à un réseau. Une solution EDR utilise les agents logiciels installés sur les endpoints pour capturer des informations et les envoie ensuite à un référentiel centralisé pour analyse. Parmi les événements stockés, citons les requêtes, les comportements et les événements, qui sont utilisés par l'équipe de sécurité pour détecter et mener des investigations sur les événements inhabituels. Une solution EDR est également utile pour identifier la cause première d'un événement.

Quoi qu'il en soit, ces tâches nécessitent un nombre important d'heures-personnes. Or les entreprises sont confrontées à une pénurie de professionnels de la cybersécurité, même lorsqu'elles disposent du budget pour en recruter. Les services de détection et d'intervention managées (MDR) ont émergé pour pallier cette lacune.

Le MDR est essentiellement une solution EDR achetée sous la forme d'un service. Mais la différence est importante : les fournisseurs de services MDR apportent généralement une assistance pour atténuer, éliminer et corriger les menaces, et leur équipe de sécurité MDR possède une grande expérience en la matière. Les services MDR assurent également une surveillance continue pour favoriser une détection rapide.

Les fournisseurs de services MDR utilisent chacun une panoplie d'outils différents, lesquels déterminent l'éventail d'attaques qu'ils sont en mesure de détecter et la qualité de leur intervention. En règle générale, les outils d'un fournisseur de services MDR consistent en une solution SIEM, une solution d'analyse du trafic réseau (NTA), une plateforme de protection des endpoints (EPP) et un système de détection des intrusions (IDS).

Le XDR protège bien plus que les endpoints. Il « couvre » toute l'infrastructure de manière à protéger les réseaux, les workloads cloud, les serveurs, la messagerie, etc. ainsi que les endpoints. Le XDR s'appuie sur l'automatisation et l'intelligence artificielle pour incorporer et interpréter d'énormes volumes de données, avant de les normaliser et de les mettre à disposition de l'équipe de sécurité via une console unique. Si vous l'achetez en tant que solution managée, le XDR doit normalement permettre de contacter des experts chevronnés en Threat Hunting, en cyberveille et en analyse.

Vous voulez une explication plus détaillée ? Lisez notre guide sur les différences entre EDR, MDR et XDR et trouvez la solution la mieux adaptée à votre organisation.

Principes fondamentaux d'une solution XDR

Pour que le XDR puisse tenir toutes ses promesses en matière de détection, d'investigation, de Threat Hunting et d'intervention, la plateforme doit offrir ce qui suit :

1. Visibilité et protection natives des endpoints

Le XDR permet aux équipes de sécurité de bloquer plus facilement les compromissions en étendant la visibilité, la détection et l'intervention au-delà de l'endpoint. Le XDR est une extension de l'EDR ; pour tirer pleinement parti des avantages du XDR, l'endpoint doit rester l'élément central sur lequel s'appuie la protection offerte par le XDR.

2. Gestion et analyse des événements axées sur les menaces

Le XDR se caractérise par son approche axée sur les menaces, qui permet d'unifier les données et de rationaliser l'intervention.

3. Télémétrie variée, couvrant plusieurs domaines

La valeur du XDR réside dans les informations contextuelles fournies par une télémétrie informatique et de sécurité supplémentaire. Ce n'est pas l'inclusion ou l'exclusion de technologies spécifiques qui détermine si l'outil offre une véritable solution XDR. Le plus important est sa capacité à intégrer un écosystème vaste et diversifié de systèmes et d'applications qui permettront d'offrir une contextualisation et une corrélation plus complètes. Ceux-ci peuvent inclure diverses solutions : analyse et visibilité réseau (NAV), pare-feu de nouvelle génération (NGFW), sécurité de la messagerie, gestion des identités et des accès (IAM), plateforme de protection des workloads cloud (CWPP), CASB/SW, DLP, etc.

4. Ontologies spécialisées pour une acquisition, une corrélation et une recherche efficaces des données

Des schémas bien définis pour les échanges de données avec les systèmes de sécurité informatique supplémentaires sont essentiels pour garantir une corrélation et un enrichissement cohérents et complets, qui tiennent compte des principaux objectifs et résultats.

5. Modèle de détection donnant la priorité à la fidélité des données

Les équipes de sécurité sont déjà submergées de données, et le XDR peut en ajouter une quantité considérable. En mettant l'accent sur la fidélité et la qualité de la détection, les équipes de sécurité évitent un déluge de faux positifs et sont assurées de la pertinence et de l'efficacité des événements et des investigations de la solution XDR.

6. Orchestration, atténuation et intervention impliquant plusieurs outils

Une fois les menaces détectées, le XDR offre aux équipes de sécurité des flux de travail intégrés et capables de prendre des mesures rapides et souvent automatisées pour atténuer et corriger la menace.

7. Intelligence artificielle et Machine Learning pour rechercher continuellement de nouvelles menaces inconnues

Des analyses avancées recourant à l'intelligence artificielle et au Machine Learning sont utilisées pour rechercher des menaces précédemment dissimulées, souvent au moyen de l'agrégation et de l'interprétation de plusieurs signaux disparates plus faibles émanant de différents domaines.

Avantages de la sécurité XDR

Les solutions de détection des menaces d'ancienne génération se concentrent sur une couche à la fois. Par exemple, les solutions EDR ciblent uniquement les endpoints, tandis que les solutions d'analyse réseau s'occupent seulement du trafic réseau. Au bout du compte, les entreprises multiplient les achats de produits de sécurité pour implémenter leur propre sécurité multiniveau, ce qui conduit à une infrastructure de sécurité complexe qui génère trop d'alertes et pas suffisamment de contexte.

En dépit des lourds investissements consentis, les entreprises se retrouvent avec un système de défense qui les dessert. Plus les silos de sécurité sont complexes, plus le risque est grand de créer des failles de sécurité qui passeront inaperçues jusqu'à l'apparition d'une compromission. À mesure que d'autres outils sont ajoutés, il devient de plus en plus difficile de mener des investigations, ce qui explique pourquoi le délai nécessaire à la détection d'une compromission a augmenté avec l'adoption du modèle de sécurité multiniveau.

Comme tous ces outils doivent être gérés, l'équipe de sécurité doit non seulement traiter le volume plus grand d'alertes générées par ces solutions cloisonnées, mais aussi assurer l'implémentation et le suivi réguliers des correctifs et des mises à niveau sur chacun des produits spécialisés.

Une défense multiniveau composée de produits disparates a des répercussions qui s'étendent bien au-delà du SOC (Security Operation Center). L'achat de produits destinés à combler des failles de sécurité spécifiques fait passer la technologie au premier plan, et l'entreprise et les utilisateurs en second. Il s'agit là d'une approche plus tactique que stratégique, qui, au bout du compte, se révèle plus onéreuse en raison de l'expertise technique qu'elle exige, sans compter qu'elle freine l'évolutivité et l'innovation.

Le XDR résout les problèmes créés par les technologies de détection et d'intervention classiques. Il est conçu pour fonctionner avec les infrastructures hybrides et les workloads cloud actuels, ainsi qu'avec les environnements sur site et des effectifs dispersés importants.

Le XDR améliore la cybersécurité d'une entreprise grâce aux avantages suivants :

Détection ultrafiable et plus rapide

Les outils de sécurité cloisonnés se concentrent sur un ensemble limité de données. Les analystes en sécurité sont contraints de comparer manuellement les données provenant de plusieurs outils s'ils veulent interpréter correctement les activités qui se déroulent au sein de leur infrastructure. En plus de favoriser les erreurs humaines, une telle approche ne permet pas de détecter les cyberattaquants qui utilisent des identifiants volés. Elle demande par ailleurs énormément de temps. En dépit des efforts consentis par les entreprises pour intégrer leurs solutions cloisonnées, la tâche est ardue et ne donne pas toujours les résultats escomptés.

Le XDR offre une visibilité granulaire en opérant à plusieurs niveaux, puisqu'il collecte et met en corrélation les données en provenance de la messagerie, des endpoints, des serveurs, des workloads cloud et des réseaux. La détection est ainsi plus rapide et les interventions plus efficaces. Il est possible de reconstituer les voies d'attaque et, ce faisant, de découvrir les points d'implantation des cyberattaquants au sein de l'infrastructure, ainsi que les actifs qu'ils sont susceptibles d'avoir compromis. Ces informations peuvent ensuite être utilisées pour appliquer des mesures d'atténuation et de correction et prendre des décisions mieux informées sur les améliorations de sécurité à apporter.

Intervention simplifiée

Transformez les informations en actions parfaitement orchestrées. Offrez aux équipes de sécurité les moyens de concevoir et d'automatiser des flux de travail d'intervention multiniveau et multi-plateforme pour bénéficier d'une correction précise pour l'ensemble de l'infrastructure.

Écosystème de pointe

Les modèles XDR « tout-en-un » sont tout simplement incapables de tenir toutes leurs promesses. Pour implémenter une solution XDR authentique et complète, les équipes de sécurité ont besoin d'informations émanant d'un large éventail de réseaux et systèmes informatiques.

Efficacité accrue des opérations de sécurité

Le XDR combine intelligence artificielle et analyse poussée pour mieux prioriser les menaces. De cette façon, les anomalies jugées sans importance sont exclues du flux d'alertes avant même qu'un analyste en prenne connaissance. Ce dernier est donc libre de se concentrer sur les menaces pertinentes. De plus, ces menaces priorisées sont accompagnées d'un contexte qui permet d'accélérer l'analyse humaine et d'améliorer sa précision.

Coût total de possession réduit

Outre le fait que le XDR peut remplacer plusieurs outils (et donc limiter les factures), l'utilisation plus efficace des ressources du SOC diminue considérablement le coût total de possession puisque la gestion demande moins de temps et que les investigations peuvent être réalisées plus rapidement. De plus, comme le XDR est une plateforme intégrée, il ne doit pas être incorporé dans plusieurs solutions isolées.

Cas d'usage du XDR

Cas d'usageAide apportée par le XDR
TriLe XDR agrège les données, surveille les systèmes, détecte les événements et envoie des alertes aux équipes de sécurité.
Investigation et intervention sur incidentLe XDR peut stocker les résultats des analyses et les informations sur les événements, qui peuvent ensuite être utilisés pour mener des investigations sur les événements, déterminer les mesures d'intervention et former les équipes de sécurité.
Threat HuntingLes données collectées par la solution XDR peuvent être utilisées comme ligne de base par les threat hunters. Elles peuvent également servir à créer de nouvelles informations de cyberveille en vue de renforcer les systèmes et règles de sécurité.

Fonctionnement du XDR

Les cyberattaquants savent où chercher les failles dans les silos de sécurité. Dès qu'ils ont identifié un point d'entrée dans un réseau parmi ses produits isolés, ils peuvent s'implanter pendant de longues périodes, se déplacer latéralement, collecter des charges actives et glaner des informations pour contourner les défenses du réseau lors d'une prochaine attaque.

Le XDR collecte les données générées par l'analyse des différentes couches, envoie les résultats à un lac de données (data lake), les nettoie et les met en corrélation avec la surface d'attaque utilisée par les cyberattaquants. Les données sont centralisées, normalisées et mises à la disposition des utilisateurs dans une console centrale unique.

L'endpoint au centre de la solution

Le XDR n'a aucun sens sans l'endpoint. Sans lui, il n'existe aucune possibilité d'« extension ». Tous les processus de la solution XDR – et notamment l'acquisition des données, leur mise en corrélation, l'investigation et la correction – sont rattachés aux événements correspondants survenus sur les endpoints et leur relation avec ceux-ci.

Protection offerte par le XDR aux endpoints

Le XDR identifie les événements ou activités survenus sur un endpoint, l'origine de la menace et son déplacement. La menace peut ensuite être isolée, les processus qu'elle a exécutés bloqués et les fichiers affectés restaurés ou supprimés.

Le XDR protège l'ensemble de l'écosystème de sécurité

La protection s'étend au-delà de l'endpoint. Les principaux domaines à intégrer pour tirer pleinement parti du XDR sont les suivants :

  • Sécurité de la messagerie
  • Analyse et visibilité réseau (NAV)
  • Gestion des identités et des accès (IAM)
  • Gestion des menaces et des vulnérabilités
  • Sécurité du cloud
  • Sécurité des technologies OT et IoT

Protection offerte par le XDR à la messagerie

Le XDR détecte les menaces ciblant la messagerie et identifie les comptes compromis. Il peut également détecter les schémas d'une attaque, par exemple les utilisateurs fréquemment pris pour cible, ceux ayant malencontreusement donné accès aux cyberattaquants et les autres utilisateurs ayant reçu l'e-mail de phishing. Le XDR peut mettre les messages en quarantaine, réinitialiser les comptes et bloquer les expéditeurs.

Protection offerte par le XDR au réseau

Le XDR peut détecter des comportements inhabituels sur l'ensemble du réseau et fournir des détails sur ceux-ci, par exemple les modes de communication et de déplacement de la menace. Il permet par ailleurs de filtrer les événements pour identifier plus facilement les points vulnérables, tandis que l'équipe de sécurité reçoit des informations de cyberveille sur la source et la portée de l'attaque afin d'intervenir plus rapidement.

Protection offerte par le XDR aux serveurs et workloads cloud

Le XDR peut isoler les menaces conçues pour compromettre les serveurs, les conteneurs et les workloads cloud, déterminer le point d'accès d'une menace, analyser les conséquences de la menace sur les workloads et découvrir comment celle-ci se propage au sein du réseau. Le XDR peut également arrêter les processus qui facilitent la propagation de la menace, ce qui est essentiel pour éviter de lourdes pertes de données ou l'arrêt d'opérations critiques dans un environnement cloud ou hybride, composé d'une multitude de points de connexion.

Fonctionnalités d'une plateforme XDR

Lors de l'évaluation d'une solution XDR, assurez-vous qu'elle dispose des fonctionnalités suivantes pour rentabiliser au mieux votre investissement :

FonctionnalitéDescription
Analyse autonomeDétection immédiate des menaces dans tous les environnements informatiques, y compris les workloads cloud, le réseau et les endpoints, pour réduire le temps nécessaire au tri et accélérer les interventions
Intervention autonomeFonctionnalités d'investigation informatique améliorées
Threat Hunting autonomeDétection automatisée des signaux de menace faibles contournant les défenses cloisonnées existantes de l'entreprise
Acquisition de données basée dans le cloudAcquisition de journaux et d'événements issus de multiples sources de données, y compris de fournisseurs de services cloud, d'applications SaaS et de pare-feux
Moteur d'extractionExtraction de signaux et d'alertes sur les menaces en temps quasi réel au sein du volume de données de sécurité générées par l'infrastructure existante de produits de sécurité
Investigation et notation automatiquesExtraction automatique des fonctions et entités impliquées dans des activités suspectes spécifiques et attribution autonome de scores basée sur le Machine Learning
Corrélation au niveau de différentes surfaces d'attaqueVisualisation des entités et des relations qui peuvent être automatiquement corrélées entre les divers domaines affichant une activité suspecte intense, à l'échelle de l'entreprise
Résumés d'attaque exploitablesRésumés et descriptifs des attaques, avec de nombreux détails tels que le contexte, le chemin emprunté, la cible et l'impact potentiel, dans des formats faciles à comprendre et à utiliser
Fonctions avancées de détection, d'intervention sur incident et de Threat HuntingInvestigations informatiques avancées et fonctions de Threat Hunting performantes pour réduire le délai nécessaire au tri

Anne Aarness est directrice principale du marketing produit chez CrowdStrike basée à Sunnyvale, en Californie.