Le XDR c’est la puissance d’un SIEM, la précision de l’IA, l’agilité du SaaS, l’efficacité d’un SOAR, pilotés par le renseignement.
Proverbe Sekoien
Le XDR (eXtended Detection and Response), c’est la puissance d’un SIEM, la précision de l’IA, l’agilité du SaaS, l’efficacité d’un SOAR, pilotés par le renseignement.
La prévention, la sensibilisation et l’application des règles d’hygiène informatique ne suffisent plus, bien qu’elles restent indispensables. Pour contrer des attaques toujours plus nombreuses, les organisations doivent absolument disposer de visibilité et d’actionnabilité sur ce qui se passe sur leurs infrastructures informatiques. Elles doivent désormais se doter de capacités d’anticipation pour réduire au maximum les impacts d’une potentielle attaque.
La solution moderne: le XDR
Or les organisations ne peuvent plus se contenter d’empiler des solutions les unes sur les autres. Au-delà du coût, il n’est simplement pas possible pour la plupart des organisations d’acquérir la totalité des expertises nécessaires.
Dans ces conditions, seule une anticipation maîtrisée et outillée permet de conserver l’avantage. Pour y parvenir, la voie la plus efficace aujourd’hui est celle du XDR: la détection et réponse étendues (eXtended Detection & Response). Le principe fondateur du XDR est de casser les silos pour apporter une réponse unifiée aux problématiques de détection et de remédiation en mettant l’accent sur l’automatisation.
Plusieurs voies sont possibles, et la plus flexible et efficiente pour des organisations qui ne partent pas de rien est le XDR hybride, aussi baptisé Open XDR, où des solutions hétérogènes sont mises à l’unisson par une plateforme commune. L’autre approche consiste à déployer une tour de babel du XDR, que l’on croise sous l’appellation « XDR natif ».
Anticiper avec la Cyber Threat Intelligence
Quelle que soit sa philosophie (hybride ou non), une solution XDR doit toujours intégrer un renseignement cyber poussé afin de suivre les évolutions des menaces. Le principe est simple. En se focalisant sur les menaces, un XDR peut atteindre des performances impressionnantes en vélocité comme en précision. Le temps réel et un faible taux de fausses alarmes font ainsi partie des promesses majeures du XDR.
Par contre, un renseignement de qualité est délicat à obtenir. Ce ne devrait plus être à vous de perdre un temps déjà rationné à comparer et à interconnecter différents flux d’indicateurs propriétaires. Ceux-ci sont souvent très onéreux. Quant à jongler avec des flux communautaires, cela comporte de sérieux risques de faux positifs.
Dans SEKOIA.IO, cela se traduit par un point de rencontre unique: votre Intelligence Center. Vous y retrouverez un renseignement alimenté quotidiennement par notre équipe dédiée d’analystes expérimentés. Tout le renseignement pertinent disponible en sources ouvertes (OSINT) est agrégé, qualifié et contextualisé. Il est complété par un renseignement exclusif issu d’investigations quotidiennes sur les nouvelles menaces émergentes comme Mars Stealer ou Lapsus$.
De cette façon, vos indicateurs de compromission (IOC) sont régulièrement mis à jour et comportent le contexte nécessaire pour accélérer la détection et l’investigation de vos équipes SOC et CERT. La base de CTI est transparente; on y trouve par exemple les différentes sources, l’évaluation de leur fiabilité, les menaces surveillées, parmi de nombreuses autres métadonnées vitales pour éviter d’appliquer des IOCs non pertinents qui peuvent parfois causer plus de tort que de bien.
« SEKOIA.IO nous permet d’avoir une base d’indicateur saine comparé à des sources ouvertes, elle nous permet aussi de s’assurer des informations qu’on a d’autres sources »
Référent CTI chez EDF
Fini les boîtes noires qui font sonner votre SIEM ou votre EDR sans savoir pourquoi et sans vous permettre d’aller plus loin dans vos investigations!
La détection au cœur du XDR
Pour permettre une détection efficace, la CTI ne se limite pas aux seuls indicateurs, qui peuvent avoir une durée de vie limitée en fonction des menaces. Elle doit être complétée par un catalogue de règles comportementales destinées à détecter les dernières vulnérabilités, malware et modes opératoires (TTPs) des attaquants. Dans SEKOIA.IO, ces règles de détection se basent sur SIGMA pour offrir un format simple, interopérable et ouvert disposant d’une communauté open-source active.
L’avantage de SIGMA est de simplifier considérablement la migration des règles depuis son ancien SIEM et d’en créer de nouvelles rapidement. L’activation de ces règles, contextualisées avec les techniques ATT&CK qu’elles couvrent, permet également de visualiser et d’évaluer votre couverture défensive.
Ainsi, la détection étendue est au cœur d’une solution XDR moderne. Dans SEKOIA.IO, cette détection est supervisée depuis votre Operations Center. Alimenté par un renseignement natif, un catalogue de règles complet et constamment entretenu, et un moteur de corrélation et de détection d’anomalies, il centralise des alertes contextualisées avec un minimum de faux-positifs. La détection se fait en temps réel et intègre même une fonctionnalité de rétro-hunting automatique: votre équipe peut dès lors naturellement rechercher dans le passé des suspicions de compromission en fonction de la validité des IOCs présents dans la base de CTI et du délai de rétention des logs.
Ouverture et interopérabilité pour gagner en efficacité
Un Open XDR est ouvert par définition. Son but n’est pas de remplacer vos autres outils de sécurité (firewall, antivirus, EDR, etc.). Il va au contraire vous permettre :
- d’interconnecter vos systèmes et solutions on-premise ou Cloud
- d’amplifier leur efficacité en centralisant, corrélant et enrichissant tous les logs et toutes les alertes levées par ces équipements dans une interface unifiée.
Dans SEKOIA.IO, cette ouverture est présente à tous les niveaux. Le connecteur n’existe pas ? Vous pouvez créer le vôtre directement depuis l’interface. Ce n’est pas à votre éditeur d’XDR de vous imposer un EDR, un antivirus ou une sonde réseau particulière. Aucun éditeur de solutions de cybersécurité ne propose nativement tous les outils les plus innovants de chaque catégorie.
Webinar : Le Dark Web, une source déterminante pour une CTI actionnable
C’est donc bien à votre XDR de s’adapter à votre existant. Vous pouvez ensuite choisir les meilleures solutions en fonction de vos besoins de visibilité. Ou alors ce seront vos exigences de souveraineté ou simplement vos contraintes budgétaires. Le XDR sera la tour de contrôle qui harmonisera tout votre équipement de cybersécurité, en place et à venir.
Automatiser pour réagir plus rapidement
Une solution d’Open XDR doit disposer nativement de fonctions SOAR puissantes, accessibles sans compétence approfondie en administration système ou en codage. L’automatisation via un système de playbook est un bon compromis pour faciliter l’orchestration de la réponse aux incidents. Ainsi, les utilisateurs chevronnés peuvent recourir à des systèmes de script; des utilisateurs moins avancés peuvent également piloter une réponse efficace.
Vous souhaitez :
- Notifier votre RSSI par e-mail ou sur Slack ?
- Bloquer dans votre équipement de sécurité un domaine malveillant qui revient tous les jours dans vos alertes ?
- Enrichir vos alertes avec votre compte VirusTotal pour confirmer une suspicion de comportement malveillant ?
- Créer rapidement un ticket dans votre SIRP préféré open-source ou commercial ?
Rien de plus facile: il existe déjà des playbooks permettant d’exécuter toutes ces actions automatiquement comme à la demande.
Le but est de simplifier la vie des analystes et de répondre à deux enjeux critiques : la pénurie mondiale de personnel en cybersécurité, et l’alert fatigue. Celle-ci est engendrée par les milliers d’alertes mal contextualisées et par les faux positifs générés par les différents systèmes; c’est le vrai fléau caché des SOC. C’est pourquoi il faut automatiser au maximum ce qui peut l’être, et libérer l’humain pour traiter les vrais incidents.
L’automatisation permet également d’interconnecter facilement tout l’écosystème cybersécurité on-premise et Cloud pour limiter le nombre d’interfaces à manipuler.
En résumé
Le XDR est la réponse appropriée à la prolifération des menaces et des solutions de sécurité. Les XDR se présentent sous deux formes. La première dite native est héritière des grands progiciels intégrés monolithiques. La seconde dite hybride ou ouverte est adaptée aux contraintes des systèmes d’information d’aujourd’hui. Dans tous les cas, un XDR doit parler nativement le langage du renseignement (la CTI) pour optimiser les ressources, faciliter la vie des opérateurs en automatisant ce qui peut l’être (le SOAR), et avant tout présenter des performances de détection aussi efficaces qu’instantanées.
Échangez avec l’équipe
Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !
Lire aussi sur notre blog :