Que sont les couches de sécurité XDR ?

La détection et la réponse étendues (XDR) utilise une plage de sources de données plus étendue pour effectuer la détection, l’investigation et la réponse sur plusieurs couches de sécurité. XDR divise les silos de sécurité pour identifier et révéler le récit complet d’une attaque en une seule vue.

XDR : un récit complet

En matière de détection des menaces, le travail d’un analyste de SOC (Security Operations Center, centre des opérations de sécurité) consiste à établir un lien de l’infiltration initiale à un mouvement latéral, jusqu’aux éventuelles exfiltrations. Ce processus permet une compréhension plus rapide de l’impact et des actions de réponse nécessaires.

Plus vous intégrez des sources de données et des vecteurs de sécurité dans une plateforme XDR unique et intégrée, plus les occasions de corrélation augmenteront et plus l’investigation et la réponse seront complètes.

Par exemple, un analyste peut utiliser aujourd’hui un outil de détection et de réponse (EDR) pour endpoint afin d’obtenir une visibilité détaillée sur les activités suspectes visant les endpoints gérés, puis avoir une vision en silo séparée des alertes de sécurité réseau et de l’analyse du trafic. Comme pour les charges de travail dans le Cloud, l’analyste a probablement une visibilité limitée pour identifier une activité suspecte.

Toutes les parties de l’environnement génèrent des alertes, qui sont sans doute envoyées à la gestion des informations et des événements de sécurité (SIEM). L’analyste peut voir les alertes, mais ne dispose pas d’un enregistrement détaillé de toute l’activité entre les alertes. Sans corrélation supplémentaire, l’analyste ratera des détails importants sur les attaques, enfouis dans des alertes sans contexte ni moyen de relier les événements associés. 

XDR rassemble les couches pour que les analystes de sécurité puissent avoir une vision d’ensemble et expliquer rapidement ce qui peut se passer dans l’entreprise, notamment comment l’utilisateur a été infecté, quel a été le premier point d’entrée et quoi ou qui d’autre subit la même attaque.

Endpoint

L’enregistrement efficace des activités d’endpoint est nécessaire pour analyser comment une menace a pu entrer, changer et se répandre entre les endpoints. Grâce à XDR, vous pouvez rechercher les indicateurs de compromission (IOC, indicators of compromise) et rechercher les menaces d’après les indicateurs d’attaque (IOA, indicators of attack).

Détection : Rechercher et identifier les événements suspects et dangereux sur les endpoints

Investigation : Que s’est-il passé sur l’endpoint ? D’où est venu l’événement ? Comment s’est-il propagé aux autres endpoints ?

Réponse : Isoler l’événement, arrêter des processus, supprimer/restaurer des fichiers

De nombreuses organisations peut commencer par l’endpoint, via des outils EDR. EDR est une bonne première étape, mais elle peut passer à côté du début et/ou de la fin du récit de l'attaque. Que s’est-il passé avant qu’elle ne touche l’endpoint ? Est-elle arrivée par email et d'autres personnes l’ont-elle reçu ? Que s’est-il passé après son arrivée sur l’endpoint ? Y a-t-il eu un mouvement latéral vers un serveur ou un conteneur ? S’est-elle propagée à un appareil non managé ?

Email

Vu que 94 % des violations commencent par les emails,[1]  la possibilité d’identifier les comptes compromis et de détecter les menaces par email malveillantes joue un rôle essentiel dans la capacité de détection des menaces plus générale d’une organisation.

Détection : Rechercher et identifier les menaces par email, les comptes compromis, les utilisateurs fortement attaqués et les schémas d'attaque par email

Investigation : Qui a mis en œuvre l’infiltration ? Qui d'autre a reçu l’email malveillant ?

Réponse :  Email en quarantaine, blocage des expéditeurs de l’email, réinitialisation des comptes

En tant que vecteur d'attaque numéro un, les emails doivent être un point d’extension prioritaire pour la détection et la réponse par couches croisées. Souvent, les menaces par email ne touchent les endpoints que lorsqu’un utilisateur clique sur une pièce jointe ou un lien intégré à l’email. Une menace non désamorcée peut rester non détectée dans plusieurs boîtes de réception. Le traçage d’une détection sur un endpoint jusqu’à l’email d'origine peut vous permettre de déterminer automatiquement quelles autres boîtes de réception ont reçu l’email malveillant, et si la pièce jointe ou l’URL malveillante est également présente dans les boîtes de réception d'autres utilisateurs. Vous pouvez ensuite mettre les emails en quarantaine et éliminer la menace, afin d'éviter qu’elle ne continue de se propager et de causer des dégâts.

Réseau

Le traitement analytique de réseau est un excellent moyen de trouver les attaques ciblées qui se propagent latéralement ou communiquent grâce à des serveurs Command and Control (C&C). Le traitement analytique du réseau peut aider à filtrer les événements réels des fausses alertes et réduire les angles morts, comme l’Internet de objets (IoT) et les appareils non gérés.

Détection : Rechercher et identifier les comportements anormaux comme la propagation des menaces

Investigation : Comment une menace communique-t-elle ? Comment se propage-t-elle dans l’organisation ? 

Réponse : Décrire la portée de l’attaque

Les journaux du réseau fournissent une source de données complète pour vous aider à comprendre la portée d’une attaque. Cependant, si vous ne mettez pas en corrélation ces journaux avec d'autres alertes de sécurité, il est difficile d’obtenir le contexte nécessaire pour évaluer les éléments associés et importants. Pour cette raison, le réseau et l’endpoint constituent une puissance association. En mettant en corrélation les données, un élément qui pouvait paraître bénin au niveau de la couche d’endpoint, comme une activité PowerShell suspecte, devient une alerte hautement prioritaire lorsqu’elle est associée à la communication C&C avec un serveur.

Serveurs et charges de travail cloud

Tout comme les endpoints, ce domaine implique une consignation efficace des activités, afin d'analyser la manière dont une menace a pu arriver et se propager entre les serveurs et les charges de travail cloud. Vous pouvez balayer les IoC et les rechercher en fonction des IoA.

Détection : Rechercher et identifier les menaces qui ciblent spécifiquement des serveurs, des charges de travail cloud et des conteneurs

Investigation : Que s’est-il passé dans la charge de travail ? Comment la menace s’est-elle propagée ? 

Réponse : Isolation du serveur, arrêt des processus

Les organisations peuvent utiliser les outils EDR pour les serveurs et les charges de travail sur le Cloud, mais sacrifieront peut-être l’efficacité ainsi. EDR seul ne peut pas traiter les nouveaux modèles Cloud ni fournir les types de données et la visibilité nécessaires. Comme avec tous les vecteurs, la mise en corrélation d’informations à partir d’environnements de serveur peut valider une activité suspecte comme malveillante – par exemple si les serveurs communiquent avec une adresse IP qui se trouve dans un pays avec lequel ils n’ont jamais communiqué auparavant – en l’associant aux données d’activité d’autres couches, sur l’endpoint et/ou le réseau.

Articles associés