Dans les cercles restreints des spécialistes de la détection et de la réponse, un débat fait rage autour de ce qu’est vraiment XDR. Chez SEKOIA.IO, nous souhaitons peser dans ce débat en apportant un point de vue malheureusement trop souvent éludé : celui des utilisateurs finaux.
Pour reprendre les termes du référentiel NIST, les solutions de Détection & Réponse permettent à une organisation de Détecter les activités frauduleuses ou malveillantes sur son système d’information, et d’apporter la Réponse adéquate pour prévenir tout impact significatif. En d’autres termes, le D&R consiste à protéger activement1 une organisation donnée. Aucun non-sens requis.
Adapté du NIST Cybersecurity Framework – https://www.nist.gov/cyberframework
Cependant, beaucoup ont tenté depuis de segmenter davantage ce domaine, que ce soit en regardant ce qui est censé être détecté (malware, spyware, DDoS, Ransomware, APT…) ou par le lieu où cette détection est censée se produire (Réseau, Endpoint, Mobile etc.). En fin de compte, cependant, tout cela n’a pas d’importance pour l’organisation de l’utilisateur final : ce qui l’intéresse, c’est de savoir s’il peut poursuivre son activité comme d’habitude. Reformulons cela et laissons cela pénétrer : les clients ne se soucient pas d’un produit de cybersécurité, ils se soucient de ne pas s’en soucier.
De ce constat très simple, il découle que leur procurer cette tranquillité d’esprit nécessite trois fonctions indissociables. Premièrement : savoir où chercher et pour quoi (afin de concentrer les ressources) ; Deuxièmement : recherchez-le partout où il pourrait se cacher (afin de fournir une couverture) ; et enfin : résolvez autant de problèmes que possible sans sonner la cloche (car il y a encore plus de 3 millions de postes vacants dans le monde en matière de cybersécurité). C’est ce qu’est vraiment XDR, et c’est précisément ce qu’Allie Mellen décrit2 comme « les trois défis que XDR cherche à relever ».
Dans ses récentes analyses3, elle définit XDR comme «l’évolution de la détection et de la réponse aux points finaux (EDR), qui optimise détection des menaces, enquête, réponse et chasse en temps réel. XDR unifie les détections de points de terminaison relatives à la sécurité avec la télémétrie à partir d’outils de sécurité et d’entreprise tels que l’analyse et la visibilité du réseau (NAV), la sécurité des e-mails, la gestion des identités et des accès (IAM), la sécurité du cloud, et plus encore. Il s’agit d’une plate-forme cloud native construite sur une infrastructure de Big Data pour fournir aux équipes de sécurité flexibilité, évolutivité et opportunités d’automatisation.»
De même, les analystes de Gartner Peter Firstbrook et Craig Lawson définissent4 XDR en tantqu’outil de détection des menaces de sécurité et de réponse aux incidents basé sur SaaS, spécifique au fournisseur, qui intègre de manière native plusieurs produits de sécurité dans un système d’opérations de sécurité cohérent qui unifie tous les composants de sécurité sous licence. «
Nous partageons volontiers ces points de vue ! En effet, à la base, qu’est-ce que cela signifie ? cela signifie que a) courant de détection et de réponse ne sont pas satisfaisantes en termes de couverture et de performances, simplement parce qu’il existe des actifs dans la plupart des infrastructures modernes que les EDR ne peuvent tout simplement pas voir ; b) Une détection et une réponse efficaces nécessitent la conjugaison intelligente de divers outils (y compris la télémétrie d’entreprise), mais pas au prix de la complexité pour l’utilisateur final ni au prix d’un budget qui monte en flèche, et c) l’ouverture et la transparence devraient permettre des intégrations transparentes, jusqu’à vers et au-delà de l’automatisation, qu’elle soit classique (SOAR) ou alimentée par l’IA.
« *DR » : remplacez « * » par A, C, E, F, M, N, T, V…
En conséquence, le concept même de XDR est né du besoin combiné d’une couverture plus large et d’une précision de fonctionnement extrêmement précise. Les deux besoins étaient ciblés par les approches précédentes (les systèmes SIEM ont été inventés pour ingérer de grandes quantités de données hétérogènes hautement volatiles, tandis que les systèmes SOAR découlent du manque de main-d’œuvre adéquate pour traiter correctement chaque alerte ou incident), mais tous les utilisateurs pouvaient voir étaient conscients- des piles techniques incroyablement complexes et des armées de spécialistes hautement spécialisés – et très bien payés – pour les faire fonctionner et faire face à des essaims de faux positifs. XDR consiste à relier les points, pas à collecter plus de points, à tirer parti de l’intelligence afin de comprendre et d’agir de manière proactive au lieu de « simplement » détecter et répondre.
En d’autres termes, vous, en tant que CISO ou SOC Manager, à moins d’être nativement un spécialiste de la cybersécurité, devriez plutôt pouvoir vous appuyer sur une intelligence à haute pertinence pour piloter vos efforts (CTI), sur une surveillance et une analyse consolidées performantes plate-forme (SIEM ou Security Analysis) qui peut s’interfacer de manière transparente avec tout ce que vous avez déjà sous la main (EPP, EDR, AV, FW, NDR, etc.), et sur un automatisation native très puissante pour économiser vos ressources rares (SOAR). Et si vous êtes soucieux des ressources, le fait de regrouper ces trois services sous la forme d’un seul service géré est extrêmement logique une fois que vous examinez les résultats.
Avons-nous à un moment donné besoin de commencer par un EDR ? Pas du tout. XDR signifie eXtended Detection and Response, et non eXtended Endpoint Detection and Response, et les clients qui recherchent désespérément des moyens meilleurs et plus efficaces de protéger leur infrastructure et leurs opérations ne recherchent pas un meilleur cheval, pour parler dans la célèbre analogie fordienne.
Alors pourrions-nous, s’il vous plaît, dépasser ces débats byzantins et faire à la place ce que nous devrions tous faire en premier lieu : aider les décideurs à prendre de meilleures décisions concernant leur propre protection active et leur fournir les solutions les plus pertinentes pour détecter ce qui menace réellement eux et répondre de la manière la plus efficace ?
Pour conclure cette diatribe/contribution au débat « XDR contre EDR » : chez SEKOIA.IO nous pensons que bien que XDR ait ses racines historiques dans l’EDR, les premiers sont bien au-delà de la seule évolution des seconds et représentent désormais une approche de protection active à 360°, aucun EDR requis.
Les EDR offrent toujours une couverture inestimable lorsque les terminaux sont accessibles aux architectes informatiques, et nous sommes fiers de nous associer à des fournisseurs EDR exceptionnels et innovants lorsque cela est pertinent pour nos clients.
Ce qui coupe vraiment la ligne, c’est : au final, nos clients bénéficient-ils d’une plus grande sécurité et d’une moindre charge, tout en maîtrisant leur budget ?1 le cadre NIST définit la « Protection » comme autre chose, beaucoup plus passive et périmétrique (contrôle d’accès, formation, cryptographie…) ; ici, nous utilisons la protection comme l’acte actif de… Détecter et répondre aux menaces.2 XDR FAQ Foire aux questions sur la détection et la réponse étendues, juillet 213 Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR, Forrester, avril 214 Innovation Insight for Extended Detection and Response, Gartner, mars 20.Merci d’avoir lu cet article, vous pouvez également consulter notre article de blog sur :
- Une guerre sur plusieurs fronts – le paysage turbulent de la cybercriminalité
- La Threat Intelligence n’est pas (seulement) sur un spectre
- XDR Is Not EDR++
- Un aperçu détaillé des opérations de Conti – Première partie
- Le paysage des menaces ransomware observé par SEKOIA.IO durant le 1ᵉʳ semestre 2022
- SOC augmenté — Comment repenser votre centre de sécurité ?
- Comment nous avons rendu les déploiements plus sûrs à SEKOIA.IO ?
- Focus sur les cyberattaques ayant impacté les collectivités territoriales françaises en 2020