Clarifier le discours sur la technologie XDR et importance d’une approche proactive

By on Mar 10, 2021

Les professionnels de la cybersécurité sont passés maîtres dans l’art de dégager l’essentiel à partir d’une masse d’informations plus ou moins utiles et pertinentes. L’acronyme XDR (Extended Detection and Response) a été largement brandi dans le secteur de la cybersécurité, souvent évoqué et par ailleurs vanté comme une technologie prometteuse. Pour les spécialistes de terrain, aux prises avec des adversaires tenaces au quotidien, il est parfois difficile d’y voir clair malgré leur intérêt pour le sujet. L’objectif de cet article de blog est de faire le point sur la technologie XDR et de s’affranchir du bruit médiatique pour entamer un dialogue pertinent et réfléchi sur la cybersécurité, débouchant sur des mesures concrètes. Et l’une des observations que l’on peut tirer de cette analyse est qu’une approche proactive est essentielle.

Commençons par expliquer ce qu’est la technologie XDR et comment elle a évolué. Comme indiqué précédemment, XDR est l’acronyme de « Extended Detection and Response », ou détection et réponse aux incidents. Le terme « extended » indique que sa portée va au-delà des terminaux, et s’étend jusqu’au réseau et à l’infrastructure cloud. Cette capacité à couvrir plusieurs infrastructures ou domaines est le dénominateur commun de toutes les solutions XDR. La technologie XDR représente l’évolution naturelle des plates-formes EDR (Endpoint Detection and Response). Paradoxalement, ce terme a été inventé par un fournisseur de sécurité des réseaux qui avait l’ambition de s’implanter sur le marché émergent des opérations de sécurité.

Le point de vue du secteur

Les experts en cybersécurité ont évalué l’intérêt de la technologie XDR en matière de cybersécurité. D’après le bureau d’études Gartner, la technologie XDR est « un outil SaaS de détection des menaces et réponse aux incidents propre au fournisseur, doté de multiples produits de sécurité intégrés de façon native en un système d’opérations de sécurité cohérent qui unifie tous les composants sous licence. » Pour Gartner, tout système XDR se doit de remplir trois exigences fondamentales : centralisation de données normalisées en se concentrant principalement sur l’écosystème des fournisseurs de solutions XDR ; corrélation des données de sécurité et des alertes en incidents ; et fonctionnalité centralisée de réponse aux incidents capable de modifier l’état de chaque produit de sécurité dans le cadre de la réponse aux incidents ou de la définition de la stratégie de sécurité. Pour en savoir plus sur l’avis de Gartner en la matière, lisez le rapport.

Selon ESG, la technologie XDR est une suite intégrée de produits de sécurité protégeant les architectures informatiques hybrides, conçue pour interagir et coordonner la prévention et détection des menaces ainsi que la réponse aux incidents. Autrement dit, la technologie XDR unifie les points de contrôle, les données télémétriques de sécurité, les analyses et les opérations en un système d’entreprise.

Selon Forrester, la technologie XDR est la nouvelle génération de la technologie EDR (Endpoint Detection and Response) grâce à l’intégration de la télémétrie des terminaux, du réseau et des applications. Les principaux objectifs sont de fournir des analyses sur les incidents permettant de rechercher la cause première, de proposer et éventuellement d’orchestrer des mesures de correction prescriptives, et de mettre en corrélation des cas d’utilisation de techniques MITRE ATT&CK pour ensuite les regrouper en requêtes complexes décrivant les comportements, et non des événements isolés.

Différents aspects de la technologie XDR

Les aspects de la technologie XDR les plus souvent abordés portent sur la collaboration entre de multiples fonctions de sécurité et des données collectées sur les vecteurs de contrôle pour obtenir une meilleure efficacité opérationnelle au niveau de la sécurité, tout en neutralisant une menace. Compte tenu des déplacements erratiques de l’adversaire, les points de contrôle croisés se justifient. La priorité est d’éliminer la complexité et d’améliorer la détection et l’interprétation du risque dans l’environnement afin d’analyser rapidement les réponses potentielles. Il paraît peu probable que l’éventail de fonctionnalités de détection et de réponse puisse être assumé par un seul fournisseur. Nombreux sont ceux qui militent en faveur d’un partenariat intégré visant à unifier les défenses et à rationaliser les efforts à l’échelle des domaines et vecteurs. La collaboration pluridisciplinaire dans le domaine de la sécurité n’est pas une nouveauté. McAfee l’affirme et le met en pratique depuis un certain temps déjà : « Together is Power » (l’efficacité repose sur la collaboration).

La technologie XDR porte également en elle la promesse d’une accélération des investigations grâce à l’analyse automatique des résultats et incidents afin de renforcer la fiabilité des évaluations. La fréquence de vos cycles réactifs pourra ainsi être réduite.

L’intégration de la sécurité à l’échelle de l’entreprise et des points de contrôle et l’accélération des investigations sont des fonctions essentielles. Reste à savoir si une adaptation aux problématiques spécifiques aux entreprises est possible — par exemple pour déterminer si une menace donnée est prioritaire en raison de sa prévalence dans la zone géographique et du secteur d’activité de l’entreprise et de son impact sur des actifs cibles contenant des données hautement sensibles. La priorisation est un aspect essentiel de la technologie XDR qui n’apparaît pas forcément dans les présentes discussions.

Fonctions essentielles de la technologie XDR

Après avoir exposé les différents points de vue et aspects de la technologie XDR, on peut affirmer que les fonctions essentielles portent toutes sur l’amélioration significative des opérations de sécurité pendant une attaque. Il s’agit donc d’une fonction réactive.

Fonctions de base de la technologie XDR Avantages
Couverture vectorielle complète de plusieurs infrastructures Vous disposez d’une visibilité et d’un contrôle complets à l’échelle de l’entreprise et vous éliminez le cloisonnement.

Vous ne dispersez plus vos efforts entre outils, données et zones fonctionnelles.

Distillation des données et corrélation des alertes au sein de l’entreprise Vous éliminez les opérations de découverte manuelles et améliorez vos interprétations.
Gestion unifiée avec une expérience commune Un tableau de bord unique ou point de départ commun vous évite de jongler entre les consoles et les référentiels de données, en plus de garantir la rapidité et la précision des réponses.
Les fonctions de sécurité échangent et déclenchent automatiquement leurs actions. Certaines fonctions de sécurité doivent être automatisées, comme la détection ou la réponse.
Fonctions avancées (non mentionnées dans la plupart des discussions) Avantages
Cyberveille directement exploitable sur des menaces potentiellement pertinentes Permet aux entreprises de renforcer de façon proactive leur environnement avant de subir une attaque.
Riche contexte comprenant une cyberveille sur les menaces et des informations sur l’impact organisationnel Les entreprises peuvent prioriser leurs efforts de neutralisation des menaces en fonction du niveau d’impact sur l’entreprise.
Collaboration en matière de sécurité avec un minimum d’efforts Reliez simplement les fonctions de sécurité pour créer un front unifié et optimiser les investissements en sécurité.

 

Principaux résultats attendus

L’objectif final est d’améliorer l’efficacité opérationnelle de la sécurité. L’établissement d’une liste de contrôle de résultats peut faciliter l’évaluation de différentes solutions XDR.

Visibilité Contrôle
Détection plus précise Prévention plus précise
Adaptation à l’évolution des technologies et de l’infrastructure Adaptation à l’évolution des technologies et de l’infrastructure
Diminution du nombre d’« angles morts » Diminution du nombre de failles
Délai (moyen) de détection plus court Délai (moyen) d’application de mesures correctives plus court
Fonctionnalités de recherche et visibilité améliorées Renforcement priorisé à l’échelle de la gamme de solutions, pas d’efforts isolés
Investigations plus rapides et précises (moins de faux positifs) Contrôle coordonné de l’ensemble de l’infrastructure informatique

XDR : solution ou approche ?

S’agit-il d’une solution ou d’un produit à acheter, ou d’une approche qu’une entreprise doit intégrer à sa stratégie de sécurité ? Un peu des deux. De nombreux fournisseurs proposent des produits XDR à acheter ou des fonctionnalités XDR. Une approche XDR va faire évoluer les processus et probablement favoriser une collaboration plus étroite entre différentes fonctions, comme les analystes SOC, les équipes de traque des menaces, les spécialistes de la réponse aux incidents et les administrateurs informatiques — voire fusionner certaines d’entre elles.

XDR : une technologie pour tous ?

Tout dépend de la maturité actuelle de la cybersécurité de votre entreprise et de sa préparation à adopter la diversité et les processus requis pour retirer tous les bénéfices de l’amélioration de l’efficacité du SOC. La corrélation des données attendue à l’échelle de l’entreprise permettra d’éliminer un certain nombre d’opérations routinières et manuelles destinées à interpréter les données, afin de disposer d’informations plus précises et exploitables sur une menace. C’est une bonne chose pour les entreprises. Les entreprises moins matures qui ne disposent pas des ressources ou de l’expertise requises et n’utilisent pas les informations de cyberveille pour procéder à un changement majeur apprécieront cette étape de corrélation et d’investigation. Sont-elles cependant en mesure de poursuivre leurs efforts en ce sens ? Les entreprises ayant un niveau de maturité moyen à élevé et les compétences requises n’auront pas à faire ce travail manuel pour interpréter les données. La différence avec les entreprises matures apparaît aux étapes suivantes d’investigation et de choix des mesures de correction. Les entreprises moins matures n’auront pas l’expertise pour le faire. Ce qui fait vraiment la différence, c’est qu’une entreprise plus mature peut répondre plus rapidement à une menace potentielle ou en cours.

Votre migration vers la technologie XDR

Si votre entreprise présente une cybersécurité moyennement à très évoluée, il reste à déterminer la méthode et le calendrier. La plupart des entreprises qui utilisent une solution EDR (Endpoint Detection and Response) sont vraisemblablement bien préparées à adopter la technologie XDR, compte tenu de leurs efforts en matière d’investigation et de neutralisation des menaces visant les terminaux. C’est le moment d’accentuer ces efforts afin de mieux comprendre les déplacements de l’adversaire dans l’infrastructure. Si vous utilisez McAfee MVISION EDR, vous disposez déjà de fonctionnalités XDR qui assimilent les données SIEM fournies par McAfee ESM ou Splunk. (Autrement dit, la protection ne se limite pas aux terminaux, ce qui est une condition requise de la technologie XDR.)

La nécessité d’une approche plus proactive

McAfee va au-delà des fonctionnalités XDR courantes avec la nouvelle solution MVISION XDR pour offrir une productivité et une priorisation inégalées, assurant une sécurité plus efficace et intelligente. Votre SOC va abandonner l’approche réactive de la correction de systèmes propice aux erreurs et gagner ainsi de précieuses semaines d’investigation. Les SOC vont protéger et corriger l’essentiel bien plus rapidement. Vous allez peut-être enfin prendre une longueur d’avance sur vos adversaires avant qu’ils ne vous attaquent.

Cycle de vie d’une cyberattaque

J’espère que cet article de blog aura permis de faire le point sur la technologie XDR dans un langage clair, et de donner à votre entreprise tous les éléments pour doper votre SOC. Ne manquez pas la session consacrée à la XDR lors de notre conférence MPOWER ; Adoptez la technologie XDR.

 

 

About the Author

Kathy Trahan

Senior Solution and Product Marketing Manager, Kathy Trahan has been in the cybersecurity industry for over 15 years working on network security, device security, threat intelligence, IOT security and cloud security with companies like Check Point Software, Cisco, Netapp, Trend Micro & Tripwire. She is responsible for content for McAfee’s management and collaboration story. She ...

Read more posts from Kathy Trahan

Subscribe to McAfee Securing Tomorrow Blogs