Les équipes de sécurité informatique doivent aujourd’hui gérer des données provenant d’un réseau étendu et de plus en plus complexe qui englobe plusieurs clouds et applications SaaS (Software-as-a-Service), un nombre croissant de sites avec de nouvelles connexions SD-WAN, des objets connectés (IoT), des systèmes OT, des travailleurs et des appareils mobiles, et maintenant, des dizaines, voire des centaines de bureaux à domicile.
L’XDR, une technologie nécessaire aujourd’hui
Pour s’adapter au volume, à la vélocité et à la variété des données, les technologies de détection et de réponse étendue (XDR) s’avèrent nécessaires pour collecter et traiter les données de sécurité à l’échelle des environnements informatiques hybrides. Le SIEM le fait déjà depuis plusieurs années mais les marketeurs ont inventé un nouveau terme : L’XDR qui est semblable à un SIEM (en fait c’est la même chose). Par ailleurs, les EDR n’étant pas capables de traiter des données hors endpoints, Windows et Linux, l’XDR permet d’expliquer que l’on va chercher des sources de données ailleurs que sur ces endpoints. L’XDR est donc l’évolution naturelle des EDR.
XDR définition : Qu’est-ce que la détection et la réponse étendue ?
La détection et la réponse étendues ou XDR est une nouvelle approche holistique de la détection et de la réponse aux menaces qui offre une protection globale contre les cyberattaques, les accès non autorisés et les utilisations malveillantes. Selon Gartner, l’XDR est “un outil de détection des menaces de sécurité et de réponse aux incidents, basé sur le modèle SaaS, qui intègre nativement plusieurs produits de sécurité dans une plateforme de sécurité cohérente qui unifie tous les composants ». En fait, cela n’a rien de nouveau puisque c’est le travail d’un SIEM auquel sont ajoutées les données logs des endpoints, Windows et Linux pour justifier ce nouveau terme.
Les avantages principaux de la détection et la réponse étendue (XDR)
L’XDR permet ainsi à une entreprise d’aller au-delà des contrôles de détection habituels en offrant une vue globale et simplifiée des menaces dans l’ensemble du paysage technologique. L’XDR fournit en temps réel des informations exploitables sur les menaces pour des résultats meilleurs et plus rapides. Voici les 3 avantages principaux de la détection et réponse étendue (XDR) :
- Amélioration des capacités de protection, de détection et de réponse
- Amélioration de la productivité du personnel
- Réduction du coût total de possession pour une détection et une réponse efficaces aux menaces de sécurité.
La solution XDR promet de consolider plusieurs produits en une plateforme unique, cohérente et unifiée de détection et de réponse aux incidents de sécurité.
Quelle est la différence entre l’XDR et le traditionnel SIEM ?
Les SIEM traditionnels sont un élément central dans les outils technologiques des centres d’opérations de sécurité (SOC). Ils récoltent les données des journaux de dizaines ou de centaines d’outils de sécurité, les mettent en corrélation et génèrent des alertes significatives. Alors que les SIEMs traditionnels sont limités dans leur détection, les SIEMs de “nouvelle génération” sont dopés à l’UEBA, à la threat intelligence. Ils peuvent dans ce cas s’avérer plus efficaces que des XDR. Vous l’aurez compris, la frontière est fine entre SIEM modernes et XDR.
On pourrait simplifier en disant que généralement un XDR est aussi équipé d’EDR et dans ce cas il est capable de réaliser une remédiation immédiate. Mais attention des SIEM comme Reveelium par exemple sont capable de réaliser aussi des remédiations.
Que de mots barbares ! Le métier de la cyber a toujours complexifié un domaine qui pourtant est simple :
– Plus on récupère de données de différentes sources (SIEM ou XDR) meilleure est la protection,
– La remédiation en cas d’incident peut se faire par des ou des agentes sur les postes (EDR)
– La gestion des évènements est souvent associée à un SOAR (on en reparlera dans un autre post)
Retenons surtout que la meilleure protection consiste en des moteurs de détections différents : Corrélation, UEBA et Threat intelligence. Et dans ce domaine, actuellement, les promesses marketing sont rarement tenues.
Quel est le lien entre l’XDR et le SIEM ?
L’XDR peut compléter les SIEM traditionnels pour y ajouter certaines capacités manquantes :
Interaction avec les outils de sécurité : non seulement pour tirer des données sur les événements, mais aussi pour activer des capacités défensives pour faire face à ces événements (remédiation).
Quelle est la différence entre l’EDR et l’XDR ?
L’XDR est une évolution logique des solutions de détection et de réponse sur les terminaux (EDR) en un outil principal de réponse aux incidents. Avant de parler des différences entre ces deux solutions, penchons-nous sur leurs similarités :
EDR vs XDR : principales similarités
Les solutions EDR et XDR sont toutes deux conçues pour remplacer les approches traditionnelles et réactives de la cybersécurité. Par conséquent, les solutions EDR et XDR sont similaires à plusieurs égards, avec notamment une :
Approche préventive :
Les solutions de sécurité traditionnelles sont souvent axées sur la détection et la correction des menaces en cours. Les solutions EDR et XDR tentent de prévenir les incidents de sécurité en collectant des données approfondies et en appliquant l’analyse des données et le renseignement sur les menaces pour identifier les menaces avant qu’elles ne se produisent.
Réponse rapide aux menaces :
EDR et XDR prennent tous deux en charge la détection et la réponse automatisées aux menaces. Cela permet à une organisation de minimiser le coût, l’impact et les dommages causés par une cyberattaque en la prévenant ou en y remédiant rapidement.
Threat hunting : La chasse aux menaces permet une sécurité proactive en permettant aux analystes d’identifier et de remédier aux problèmes de sécurité potentiels avant qu’ils ne soient exploités par un attaquant. EDR et XDR offrent une visibilité approfondie et un accès facile aux données, ce qui facilite les efforts de threat hunting.
EDR vs XDR principales différences
Malgré leurs similitudes, EDR et XDR adoptent des approches différentes de la cybersécurité. Voici 2 des principales différences entre EDR et XDR :
L’objectif : L’EDR se concentre sur la protection des terminaux, en fournissant une visibilité approfondie et une prévention des menaces pour un appareil particulier. L’XDR quant à lui, adopte une vision plus large, intégrant non seulement la sécurité des terminaux, mais également celle du cloud, la messagerie électronique et d’autres solutions. Tout comme le SIEM.
Intégration des solutions : Les solutions EDR peuvent fournir une protection « best in breed » pour les points d’extrémité, et une organisation peut être en mesure de les intégrer manuellement avec un ensemble de solutions ponctuelles. XDR est conçu pour fournir une visibilité et une gestion des menaces intégrées au sein d’une solution unique, simplifiant ainsi considérablement l’architecture de sécurité d’une organisation.
Quelle différence avec la détection et la réponse managée (MDR) ?
La détection et la réponse managée (MDR) correspond à la sécurité des terminaux « en tant que service ». Ce service gère les technologies de sécurité des EDR pour les organisations, ce qui inclut la détection et la réponse. Les activités du service comprennent généralement :
- Une surveillance continue
- Threat hunting
- Hiérarchisation des menaces et des alertes (SOAR)
- Services d’investigation gérés
- Réponse guidée
- Remédiation gérée
Le principal avantage d’un MDR est qu’il permet d’identifier rapidement les menaces et d’en limiter l’impact sans avoir besoin de personnel supplémentaire en interne. Cela est particulièrement important compte tenu de la pénurie mondiale de professionnels de la cybersécurité hautement qualifiés et du déficit de compétences qui en découle, notamment en ce qui concerne la protection des systèmes et des actifs basés sur le cloud.
EDR, MDR, XDR : pour résumer
L’EDR est l’outil de base de surveillance et de détection des menaces pour les terminaux windows et linux. l’EDR est une évolution de l’antivirus. L’antivirus, indispensable, ne détecte plus aujourd’hui que 4% des techniques d’attaque. L’EDR couvre un peu plus de 40% de la détection des techniques d’attaque Mitre. Cette solution s’appuie sur des agents logiciels ou des capteurs installés sur les terminaux pour capturer des données. Ces données sont ensuite envoyées à une plateforme centralisée pour analyse.
Le MDR est essentiellement un EDR acheté en tant que service. Ce service gère la sécurité des terminaux et se concentre sur l’atténuation, l’élimination et la remédiation aux menaces avec une équipe de sécurité dédiée et expérimentée.
L’XDR étend les capacités de l’EDR pour protéger plus que les terminaux et récupérer des données des firewalls, proxy, DNS, etc…. La solution XDR « s’étend » à l’ensemble de l’infrastructure, en rationalisant l’ingestion, l’analyse et les flux de données de sécurité sur l’ensemble des outils de sécurité d’une organisation, afin d’améliorer la visibilité des menaces cachées et avancées et d’unifier la réponse.
l’XDR se comporte alors comme un SIEM. Lorsqu’elle est achetée en tant que solution gérée, la solution XDR donne également accès à des experts expérimentés en matière de threat hunting, de renseignement sur les menaces et d’analyse.
Quelle solution choisir pour votre organisation ?
Les besoins en matière de sécurité informatique de chaque organisation sont différents. Si la sécurité est impérative, il est important de choisir un outil de sécurité qui offre le bon niveau de couverture en fonction du profil de risque de l’entreprise.
Choisissez la solution EDR si votre organisation
- veut améliorer sa posture et le niveau de sécurité des terminaux au-delà d’un antivirus.
- dispose d’une équipe Infosec capable d’agir sur les alertes et les recommandations produites par la solution EDR
- est aux premiers stades de l’élaboration d’une stratégie de cybersécurité globale et souhaite jeter les bases d’une architecture de sécurité évolutive.
Choisissez la solution MDR ou MSSP si votre organisation
- ne dispose pas d’équipe Cyber
- ne dispose pas d’un programme de détection et de réponse mature, capable de remédier rapidement aux menaces avancées grâce aux outils ou ressources existants.
- souhaite introduire de nouvelles compétences et acquérir de la maturité sans embaucher de personnel supplémentaire
- lutte pour combler les lacunes en matière de compétences au sein de l’équipe informatique ou pour attirer des talents hautement qualifiés et spécialisés
- souhaite bénéficier d’une protection qui lui permette de se tenir au courant des dernières menaces visant les organisations.
Choisissez l’XDR ou le SIEM de nouvelle génération si votre organisation
- souhaite améliorer la détection avancée des menaces
- souhaite accélérer l’analyse, l’investigation et le threat hunting multi-domaines à partir d’une console unique
- souffre de la fatigue des alertes dans une architecture de sécurité déconnectée ou cloisonnée
- souhaite améliorer son temps de réponse aux alertes et menaces de sécurité
- souhaite améliorer le retour sur investissement de tous ses outils de sécurité.
Pour comprendre les différentes capacités de détection des différentes technologies une étude nous en apprend davantage : Qui est le vainqueur ? Le palmarès, basé sur la matrice MITRE, des meilleures technologies de protection
Pour conclure, la solution qui offre un maximum de protection reste la mise en place d’un SIEM UEBA TH avec un EDR.
Découvrez la solution XDR ITrust
Grâce à ses 15 ans d’expérience en cybersécurité, ITrust vous offre une solution XDR unifiée capable de couvrir 90% des menaces de la MITRE Attack. De ce fait, vos équipes gagnent en efficacité et en efficience. Prévenez, détectez et répondez aux menaces avancées grâce à l’automatisation, au machine learning et à la Threat Intelligence.