Que sont les couches de sécurité XDR ?

Les couches de sécurité XDR sont :

XDR permet d’effectuer la détection, l’investigation et la réponse à l’aide d’une plage de sources de données plus étendue, sur plusieurs couches de sécurité. XDR divise les silos de sécurité pour identifier et révéler le récit complet d’une attaque en une seule vue.

XDR : un récit complet

En matière de détection des menaces, le travail d’un analyste de SOC (security operations center, centre des opérations de sécurité) consiste à reconstituer le récit, de l’infiltration initiale à un mouvement latéral, en passant par les éventuelles exfiltrations, afin de comprendre rapidement l’impact et les actions de réponse nécessaires.

Plus vous intégrez des sources de données et des vecteurs de sécurité dans la plate-forme XDR, unique et intégrée, plus les occasions de corrélation augmenteront, avec pour résultat une investigation et une réponse plus complètes.

Par exemple, un analyste peut utiliser aujourd’hui un outil EDR pour obtenir une visibilité détaillée sur les activités suspectes visant les endpoints managés, puis avoir une vision en silo séparée des alertes de sécurité réseau et de l’analyse du trafic. Les charges de travail cloud possèdent quant à elles une visibilité sans doute limitée sur les activités malveillantes (peut-être à l'aide d'outils comme EDR, qui ne sont pas adaptés à cet environnement différent). ​

Toutes les parties de l’environnement génèrent de nombreuses alertes, qui sont sans doute envoyées à un SIEM. L’analyste peut voir les alertes, mais pas un enregistrement détaillé de toutes les activités entre les alertes. Il manque donc des détails importants sur l’attaque et est submergé par les alertes, sans contexte ni aucun moyen de relier entre eux les événements connexes. ​

XDR rassemble les couches, afin que les analystes de sécurité puissent voir l’image d’ensemble et expliquer rapidement ce qui se produit dans l’entreprise.

Endpoint

L’enregistrement efficace des activités d’endpoint est nécessaire pour analyser comment une menace a pu entrer, changer et se répandre entre les endpoints. Grâce à XDR, vous pouvez rechercher les indicateurs de compromission (IOC, indicators of compromise) et chasser les attaques d'après les indicateurs d'attaque (IOA, indicators of attack).

Détection : Événements d’endpoint

Investigation : Que s’est-il passé sur l’endpoint ? D’où la menace est-elle arrivée ? Comment s’est-elle propagée aux autres endpoints ?

Réponse :  Isoler, arrêter le processus, supprimer/restaurer des fichiers

De nombreuses organisations peut commencer par l’endpoint, via des outils EDR. C’est une bonne première étape, mais elle peut passer à côté du début et de la fin du récit de l'attaque. Que s’est-il passé avant qu’elle ne touche l’endpoint ? Est-elle arrivée par email et d'autres personnes l’ont-elle reçu ? Que s’est-il passé après son arrivée sur l’endpoint ? Y a-t-il eu un mouvement latéral vers un serveur ou un conteneur ? S’est-elle propagée à un appareil non managé ?

Email

94 % des violations commençant par les emails,[1] le fait d'avoir la possibilité d’identifier les comptes compromis et de détecter les menaces par email malveillantes joue un rôle essentiel dans la capacité de détection des menaces plus générale d’une organisation.

Détection : Menaces par email, comptes compromis, utilisateurs fortement attaqués et schémas d'attaque par email

Investigation : Qui a lancé l’infiltration et quelles autres personnes ont reçu l’email malveillant ?

Réponse :  Email en quarantaine, blocage des expéditeurs de l’email, réinitialisation des comptes

En tant que vecteur d'attaque n° 1, les emails doivent être un point d’extension prioritaire vers la détection et la réponse par couches croisées. Souvent, les menaces par email ne touchent les endpoints que lorsqu’un utilisateur clique sur une pièce jointe ou un lien intégré à l’e-mail. Une menace non désamorcée peut rester indétectée dans plusieurs boîtes de réception. Le traçage d’une détection sur un endpoint jusqu’à l’email d'origine peut vous permettre de déterminer automatiquement quelles autres boîtes de réception ont reçu l’email malveillant, et si la pièce jointe ou l’URL malveillante est également présente dans les boîtes de réception d'autres utilisateurs. Vous pouvez ensuite mettre les emails en quarantaine et éliminer la menace, afin d'éviter qu’elle ne continue de se propager et de causer des dégâts.

Réseau

Le traitement analytique de réseau est un excellent moyen de trouver les attaques ciblées qui se propagent latéralement ou communiquent grâce à des serveurs Command and Control (C&C). Le traitement analytique de réseau peut aider à discerner les événements réels des fausses alertes et peut offrir une visibilité dans les angles morts, comme l’IoT et les appareils non managés.

Détection : Comportement anormal, comme une propagation des menaces

Investigation :  Comment une menace communique-t-elle ? Comment se propage-t-elle dans l’organisation ? ​

Réponse :  Tracez la portée de l’attaque.

Les journaux du réseau fournissent une source de données complète pour vous aider à comprendre la portée d’une attaque. Cependant, si vous ne mettez pas en corrélation ces journaux avec d'autres alertes de sécurité, il est difficile d’obtenir le contexte nécessaire pour évaluer les éléments associés et importants. Le réseau et l’endpoint, par exemple, sont une puissance association. En mettant en corrélation les données, un élément qui pouvait paraître bénin au niveau de la couche d’endpoint, comme une activité PowerShell suspecte, devient une alerte hautement prioritaire lorsqu’elle est associée à la communication command and control (C&C) avec un serveur.

Serveurs et charges de travail cloud

Tout comme les endpoints, ce domaine implique une consignation efficace des activités, afin d'analyser la manière dont une menace a pu arriver et se propager entre les serveurs et les charges de travail cloud. Vous pouvez rechercher les indicateurs de compromission (IOC, indicators of compromise) et chasser les attaques d'après les indicateurs d'attaque (IOA, indicators of attack).

Détection : Menaces qui ciblent spécifiquement des serveurs, des charges de travail cloud et des conteneurs

Investigation : Que s’est-il passé dans la charge de travail ? Comment la menace s’est-elle propagée ? ​

Réponse :  Isolation du serveur, arrêt des processus

Beaucoup d’entreprises peuvent utiliser des outils EDR pour leurs serveurs et leurs charges de travail cloud ; cependant, pour la plupart, l’EDR ne parvient pas efficacement à traiter les nouveaux modèles de cloud, ni à fournir le type de données et de visibilité nécessaire. Comme avec tous les vecteurs, la mise en corrélation d’informations à partir d’environnements de serveur peut valider une activité suspecte (par exemple si les serveurs communiquent avec une adresse IP qui se trouve dans un pays avec lequel ils n’ont jamais communiqué auparavant) comme malveillante, en l'associant aux données d’activité d'autres couches, sur l’endpoint et/ou le réseau.

Sujets sur la sécurité XDR

[1] Rapport Verizon 2019 Data Breach Investigations Report