Qu’est-ce que XDR ?

XDR offre une détection des menaces et une remédiation entre les couches.

Les menaces furtives échappent à la détection. Elles se cachent entre les silos de sécurité, parmi les alertes de solution déconnectées, et se propagent au fil du temps. En attendant, les analystes de sécurité essaient d’effectuer un tri et une investigation avec des points de vue étroits et déconnectés sur l'attaque.

XDR divise ces silos à l’aide d’une approche globale de la détection et de la remédiation. XDR recueille et met en corrélation des détections et des données d’activité approfondies sur plusieurs couches de sécurité : email, endpoint, serveur, charges de travail cloud et réseau. L'analyse automatisée de ce super-ensemble de données riches permet de détecter plus rapidement les menaces. Les analystes de sécurité peuvent effectuer des investigations plus approfondies et agir plus tôt.

Découvrez plus d’informations sur les couches de sécurité qui peuvent s'ajouter à XDR.

En matière de détection et de remédiation, les analystes du SOC doivent identifier rapidement les menaces critiques afin de limiter les risques et les dommages pour l’organisation. Bien que cette tâche soit difficile, ils doivent l'accomplir dans des circonstances tout sauf idéales. 

Surcharge d'alertes

Sans surprise, les équipes IT et de sécurité sont souvent submergées d'alertes déclenchées par différentes solutions. Une entreprise comptant en moyenne 1 000 employés peut percevoir un pic allant jusqu’à 22 000 événements par seconde dans leur SIEM. Cela représente près de 2 millions d'événements par jour.^[1] Face au volume important d'alertes et au manque de moyens pour les mettre en corrélation et les hiérarchiser, même les analystes les plus chevronnés ont des difficultés à détecter rapidement ou efficacement les événements critiques. XDR peut automatiquement associer une série d’activités à confiance inférieure à un événement à confiance supérieure, pour faire remonter des alertes moins nombreuses et hiérarchisées et permettre d’agir.

Écarts de visibilité

De nombreux produits de sécurité fournissent de la visibilité sur les alertes et l’activité, mais chaque produit offre un point de vue spécifique et recueille/fournit des données selon le besoin pour cette fonction. L'intégration entre les produits de sécurité peut permettre d'échanger et de consolider les données, mais la valeur est souvent limitée par le type et la profondeur des données collectées, ainsi que par le niveau d'analyse de mise en corrélation possible. Il y a donc des écarts dans ce que vous pouvez voir et faire. XDR, en revanche, recueille un data lake complet de données d’activité (détections, télémétrie, métadonnées, netflow, etc.) sur différents outils de sécurité, et permet d'y accéder. XDR applique un traitement analytique sophistiqué et une veille sur les menaces afin de fournir tout le contexte nécessaire pour une vue sur toute la chaîne d’événements centrée sur l’attaque, à travers les couches de sécurité.

Difficultés à effectuer des investigations

Face aux nombreux journaux et alertes, mais en l’absence d’indicateurs clairs, il est difficile de savoir quoi chercher. Si vous détectez un problème ou une menace, il peut être difficile de cartographier son parcours et son impact dans l’organisation. La réalisation d’une investigation peut être un effort long et manuel, à condition toutefois que les ressources nécessaires soient disponibles. XDR automatise les processus en éliminant les étapes manuelles, et fournit des outils et des données riches pour effectuer une analyse qui serait impossible autrement. Prenons par exemple l'analyse automatisée de la cause première, dans laquelle un analyste peut clairement voir la chronologie et le parcours de l’attaque (qui peut passer dans les emails, les endpoints, les serveurs, le cloud et le réseau) et évaluer plus en profondeur chaque étape de l'attaque, afin de déclencher la remédiation nécessaire.

Enfin, délais prolongés de détection et de remédiation

Les défis mentionnés font que les menaces restent indétectées trop longtemps, ce qui augmente le temps de remédiation, les risques et les conséquences d’une attaque. La détection et la remédiation entre les couches offrent au final des améliorations fortement nécessaires dans les taux de détection et de remédiation. Le MTTD (mean-time-to-detect, délai de détection moyen) et le MTTR (mean-time-to-respond, délai de remédiation moyen) sont de plus en plus mesurés et surveillés en tant que mesures de performances clés pour les organisations de sécurité. De même, la valeur de la solution et les investissements sont évalués quant à la façon dont ils génèrent ces mesures, et réduisent donc les risques pour l’entreprise.

XDR fait évoluer la détection et la remédiation au-delà de l’approche actuelle de solution actuelle, à vecteur unique.

De toute évidence, EDR (endpoint detection and response, détection et remédiation d’endpoint) est très intéressant. Cependant, malgré sa capacité étendue, EDR est restreint car il n’observe que des endpoints managés. Cela limite la portée des menaces qui peuvent être détectées, ainsi que la visibilité sur les personnes et éléments affectés. La meilleure remédiation possible est donc plus difficile à déterminer.

De même, la portée des outils de NTA (Network Traffic Analysis, analyse du trafic sur le réseau) se limite au réseau et aux segments de réseau surveillés. Les solutions NTA ont tendance à générer une grande quantité de journaux. La corrélation entre les alertes du réseau et les autres données d’activité est essentielle pour comprendre les alertes réseau et en tirer de la valeur.

Le secteur a fait d'importantes avancées en détection et en remédiation, mais jusqu'à présent, les fonctionnalités étaient livrées via une solution individuelle et une couche de sécurité. Les avantages liés à l'analyse et à la collecte des données sont ainsi restés en silo. XDR fait évoluer la détection et la remédiation vers une activité consolidée et centralisée qui offre des résultats supérieurs à la somme des éléments qui la composent.

Les organisations utilisent les SIEM pour collecter les journaux et alertes de plusieurs solutions. Les SIEM permettent aux entreprises de rassembler de nombreuses informations de plusieurs endroits pour créer une visibilité centralisée, mais cela crée un nombre d’alertes individuelles écrasant. Il est difficile de trier ces alertes afin de déterminer si elles sont critiques et requièrent de l’attention. Avec le SIEM seul, il est difficile de mettre en corrélation et de connecter tous les journaux d’informations pour comprendre le contexte plus global.

À l’inverse, XDR collecte des données approfondies sur l’activité et alimente ces informations dans un data lake pour l'analyse, la chasse et l’investigation entre les couches. L'application du traitement analytique d’IA et expert au jeu de données riche permet de créer des alertes moins nombreuses et plus riches en contexte, qui peuvent être envoyées à la solution SIEM d’une entreprise. XDR ne remplace pas le SIEM, mais le complète, en réduisant la durée dont les analystes de sécurité ont besoin pour évaluer les alertes et journaux pertinents, et déterminer quels éléments requièrent leur attention et une investigation plus approfondie.

Plusieurs couches de sécurité au-delà de l’endpoint

• Pour effectuer la détection et la remédiation entre les couches, il vous faut au moins deux couches, mais plus vous en avez, mieux c’est : endpoint, email, réseau, serveurs et charges de travail cloud.
• XDR élargit la portée de la détection et de la remédiation au-delà des endpoints. Il étend EDR à des domaines d’activité supplémentaires importants. Par exemple, les emails sont critiques, car il s'agit de la source d'attaque n° 1.
• XDR alimente les données d’activité de plusieurs couches vers un data lake, afin que toutes les informations applicables, sous la structure la plus pertinente, soient mises à disposition pour assurer une corrélation et une analyse efficaces.
• Le fait d’extraire la pile de sécurité native d'un seul fournisseur évite la prolifération des fournisseurs/solutions, et fournit une profondeur d’intégration et d’interaction inégalée entre les capacités de détection, d’investigation et de remédiation.

IA et traitement analytique expert conçus sur mesure

• La collecte de données est un avantage de XDR, mais son but final est l'application du traiement analytique et de la veille pour générer une détection plus efficace et rapide.
• La collecte de télémétrie devenant un service, la valeur est générée par le traitement analytique de sécurité associé à la veille sur les menaces, qui peut transformer les informations en connaissances et en action.
• Un moteur de traitement analytique alimenté par des capteurs intelligents natifs fournit un traitement analytique de sécurité plus efficace, qui devrait être obtenu autrement avec des produits/une télémétrie tiers. Tout fournisseur donné bénéficiera d’une meilleure compréhension des données de ses propres produits, plutôt que des données d’un tiers. Il convient de donner la priorité aux solutions XDR créées sur mesure pour la pile de sécurité native d’un fournisseur, afin d'assurer des capacités analytiques optimisées.

Une plateforme unique, intégrée et automatisée pour une visibilité complète

• XDR offre des investigations plus perspicaces, car vous pouvez effectuer des connexions logiques à partir des données fournies dans une seule vue.
• Le fait de voir la chronologie graphique et centrée sur l’attaque peut fournir des réponses en un seul endroit, notamment à ces questions :

Comment l’utilisateur a été infecté
Quel a été le premier point d’entrée
Quel autre élément/quel autre utilisateur fait partie de la même attaque
D’où provient la menace
Comment la menace s’est répandue
Combien d'autres utilisateurs ont accès à la même menace

• XDR augmente les fonctionnalités pour les analystes de sécurité et simplifie les flux de travail. Il optimise les efforts des équipes en accélérant ou en éliminant les étapes manuelles, et permet d’accéder à des vues et analyses qui ne peuvent pas être effectuées immédiatement.
• L’intégration avec SIEM et SOAR permet aux analystes d’orchestrer des informations XDR avec l'écosystème de sécurité dans son ensemble.