Bien que cette technologie fasse beaucoup parler d’elle au sein du groupe des leaders du secteur, de la communauté des analystes et de l’écosystème des éditeurs, la technologie XDR (Extended Detection and Response) est toujours un concept en développement et, en tant que tel, de nombreuses questions restent en suspens, lesquelles d’ailleurs peuvent sembler étonnamment basiques :
- “Que signifie XDR ?”
- “En quoi la technologie XDR est-elle différente des technologies et des concepts qui l’ont précédée ?”
- “Quels sont les avantages de la technologie XDR ?”
Pour résumer, il s’agit là de questions simples, mais cruciales, pour aider à comprendre ce concept.
En tant que l’un des fondateurs de la technologie XDR (Extended Detection and Response), chez Sophos, on nous demande souvent de clarifier le sujet. Poursuivez donc votre lecture pour découvrir quelques-unes des questions les plus courantes concernant l’approche XDR.
Concernant la description Gartner de la technologie XDR, vous pouvez télécharger une copie de leur rapport “Innovation Insight for Extended Detection and Response“.
Que signifie XDR (Extended Detection and Response) ?
Il existe en fait trois interprétations courantes de XDR qui sont actuellement utilisées.
Les sociétés de conseil et d’étude de marché comme Gartner et Forrester le décrivent par la désignation suivante : “Extended Detection and Response/Détection et réponse étendues“. “Extended/Etendues” signifie que sa portée va au-delà du simple endpoint pour combiner des données de sécurité provenant de plusieurs sources.
Une autre interprétation est que le “X” signifie détection et réponse “multi-couches” ou “multi-produits”; le point important ici étant que les données sont combinées à partir de plusieurs produits ou couches de sécurité.
La troisième interprétation consiste à considérer “X” comme une sorte de variable mathématique représentant toutes les sources de données que vous pouvez connecter à l’équation (par exemple, endpoint, réseau, Cloud, messagerie, etc.).
Technologie XDR (Extended Detection and Response) : définition
XDR est-il un produit ? Une plateforme ? Un service ? La réponse est oui.
XDR peut être packagé et proposé sous la forme d’un outil ou d’un ensemble d’outils que vous et votre équipe pourrez déployer, administrer et exploiter, ou bien en tant que service managé proposé par une équipe d’experts utilisant une pile technologique propriétaire ou structurée.
Cette technologie peut même être déployée via un modèle hybride au sein duquel certaines fonctions sont gérées par un SOC (Security Operations Center) interne tandis que d’autres sont prises en charge par une équipe externe de spécialistes. Par souci de simplicité, il est donc plus facile de considérer une technologie XDR comme une approche qui peut prendre de nombreuses formes différentes.
Par extension, une définition simple de XDR serait :
Une approche qui unifie les informations de plusieurs produits de sécurité pour automatiser et accélérer la détection, l’investigation et la réponse aux menaces, impossible à mettre en œuvre par des solutions ponctuelles isolées.
Si vous suivez Sophos depuis un certain temps, cette définition vous paraît certainement familière, et ce pour une bonne et simple raison. En effet, l’un des piliers sur lequel repose les produits Sophos depuis plusieurs années est la Sécurité Synchronisée (Synchronized Security) : un ensemble de fonctionnalités qui permettent aux produits endpoint, réseau, mobile, Wi-Fi, email et de chiffrement de partager des informations en temps réel afin de répondre automatiquement aux incidents.
Un exemple de Sécurité Synchronisée est Security Heartbeat™, une fonctionnalité reconnue par le Carré Magique Gartner 2020 dans la catégorie Network Firewalls qui permet à XG Firewall et aux systèmes endpoint sécurisés par Intercept X de communiquer entre eux afin d’empêcher les menaces de se propager à l’intérieur ou au-delà d’un réseau.
La technologie XDR (Extended Detection and Response) illustre en réalité l’évolution des fonctionnalités de Sécurité Synchronisée au sein de la catégorie, en forte croissance, qu’elle représente aujourd’hui.
Quelle est la différence entre l’approche XDR et les solutions SIEM ou SOAR ?
XDR est un nouvel acronyme à ajouter à l’écosystème alphabétique regroupant les différents termes liés à la sécurité. La bonne nouvelle est que si vous connaissez déjà ces derniers, il n’est pas compliqué de comprendre la véritable valeur ajoutée apportée par la technologie XDR.
XDR partage de nombreuses similitudes fonctionnelles avec les outils SIEM (Security Information and Event Management) et SOAR (Security Orchestration, Automation, and Response). Certains d’ailleurs se réfèrent même à XDR en le décrivant comme le successeur spirituel (spiritual successor) de SIEM et SOAR.
Cependant, les principales différences se situent au niveau de l’objectif premier des outils SIEM et SOAR, et à l’accent mis par la technologie XDR au niveau de la détection et la réponse aux menaces. La propriété fondamentale qui rend les outils SIEM précieux est leur capacité à collecter et analyser d’importants volumes d’événements de log ainsi que d’autres données via des sources hétérogènes.
Encore une fois, les fonctionnalités sont similaires à celles mises en œuvre par XDR. Le SIEM est avant tout un outil de recherche, obligeant les utilisateurs à poser plusieurs questions (souvent de différentes manières) et rassemblant les réponses qui en résultent pour arriver à une conclusion. De son côté, la technologie XDR, est capable de répondre automatiquement aux menaces, dans les cas où une réponse automatisée ne peut pas être mise en œuvre, ou d’accélérer la traque des menaces et les investigations menées par les analystes afin d’améliorer les temps de réponse.
De même, bien que les plateformes SOAR puissent ajouter une assistance ‘machine’ aux opérateurs de sécurité ‘humaine’ via la création de playbooks (c’est-à-dire des flux logiques qui peuvent déclencher des actions à base de scripts lorsque certaines conditions sont remplies), elles ne créeront pas ces processus ou flux de travail pour vous.
Ainsi, alors que le SOAR peut aider à la gestion des alertes, il nécessite des investissements initiaux importants au niveau de la mise en œuvre ainsi qu’une maintenance continue (le plus souvent des mises au point) effectuée par des analystes de sécurité expérimentés afin de créer des playbooks efficaces en matière de gestion des cas et de réponse aux incidents.
Une approche XDR peut-elle être réalisée en utilisant des solutions SIEM ou SOAR ou bien une combinaison des deux ? Certainement. Mais une telle démarche nécessiterait des investissements importants dans les outils, les personnes et les processus afin de combler les lacunes en termes de fonctionnalité.
Quel est l’impact de la technologie XDR sur votre entreprise ?
Pour les responsables de la sécurité, IT et de la gestion des risques, les capacités XDR (Extended Detection and Response) réduisent la complexité de la configuration de la sécurité, de la détection des menaces et de la réponse, permettant ainsi aux entreprises de prévenir des attaques capables de réussir, lancées par des adversaires avancés.
Découvrez le rapport gratuit !
“Les principales propositions de valeur d’un produit XDR sont d’améliorer la productivité des opérations de sécurité ainsi que les capacités de détection et de réponse en intégrant davantage de composants de sécurité au sein d’un ensemble unifié. Ce dernier offrant plusieurs flux de télémétrie, présentant différentes options pour mener plusieurs formes de détection, le tout en permettant simultanément plusieurs méthodes de réponse”.
Gartner, “Innovation Insight for Extended Detection and Response” (2020)
De même, la technologie XDR a rapidement conquit les équipes dirigeantes pour fournir des capacités de détection et de prévention plus précises à un coût total de possession (TCO) inférieur.
Sans les capacités de type XDR activées via Synchronized Security, les clients disent qu’ils devraient doubler leurs effectifs de sécurité pour maintenir le même niveau de protection. Ils nous disent également qu’ils subissent moins d’incidents de sécurité et peuvent identifier et réagir plus rapidement aux problèmes qui surviennent.
XDR, proposé sous forme de produit ou de service managé, séduira les responsables de la sécurité et IT aux ressources limitées qui cherchent à réduire le coût total et la complexité de leur programme de sécurité et à améliorer leurs capacités de détection et de réponse aux menaces.
Quelle est la prochaine étape pour Sophos XDR ?
Dans les semaines à venir, nous partagerons de nouvelles informations concernant les prochaines étapes de Sophos XDR. En attendant, vous pouvez essayer l’un des composants clés de la technologie XDR, à savoir la fonctionnalité EDR (Endpoint Detection and Response), en essayant gratuitement Intercept X.
NB 1 : Gartner Innovation Insight for Extended Detection and Response, Peter Firstbrook, Craig Lawson, 19 March 2020.
NB 2 : Gartner ne fait la promotion d’aucun éditeur, produit ou encore service mentionnés dans la publication de son étude, et ne conseille pas à ses utilisateurs techniques la sélection d’un éditeur en particulier par le biais d’une note élevée, ou bien d’une quelconque autre désignation. Les publications émanant de Gartner, reflètent l’opinion de sa structure de recherche, et ne doivent en aucun cas être considérées comme une recommandation implicite. Gartner décline toute responsabilité concernant une garantie explicite ou implicite, au sujet de son étude, incluant les garanties de qualité et de pertinence de la solution choisie.
NB 3 : GARTNER est une marque déposée et une marque de service de Gartner, Inc. et/ou de ses filiales aux États-Unis et dans le monde et est utilisée ici avec leur permission. Tous les droits sont réservés.
Billet inspiré de What is Extended Detection and Response (XDR)? Common questions answered, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.