Pour résumer, la technologie XDR, abréviation de Détection et Réponse Étendues (Extended Detection and Response), peut être définie comme suit :
Une approche qui unifie les informations de plusieurs produits de sécurité pour automatiser et accélérer la détection, l’investigation et la réponse aux menaces, impossible à mettre en œuvre par des solutions ponctuelles isolées.
Avec le lancement récent de notre programme d’accès anticipé pour Sophos XDR, nous avons pensé que le moment était idéal pour examiner de plus près comment nous sommes arrivés à cette solution : qu’est-ce que la technologie XDR ? Que permet-elle de réaliser et comment nous faisons chez Sophos pour l’offrir à nos clients ?
Le rôle de la détection et de la réponse aux menaces en cybersécurité
Un dicton assez répandu dans l’univers de la cybersécurité dit que : “la prévention est idéale, mais la détection est un must”.
La plupart des acteurs sur le terrain connaissent bien ce dicton, mais c’est souvent plus tard dans le processus de maturation d’une entreprise en matière de sécurité que des actions concrètes sont lancées à ce sujet. En effet, un RSSI, un directeur de la sécurité ou un responsable IT se rend compte que les contrôles préventifs tels que la protection des endpoints et le pare-feu next-gen, bien qu’essentiels, ne sont tout simplement plus suffisants. La question suivante : “quelles sont les menaces que nous pouvons bloquer ?” évolue vers l’interrogation : ” quelles sont les menaces qui nous échappent ?”.
La détection et la réponse aux menaces, pour citer mes collègues, est “une méthodologie qui permet aux opérateurs de sécurité de détecter les attaques et de les neutraliser avant qu’elles ne provoquent des perturbations ou ne se transforment en faille”. En d’autres termes : que manquons-nous et que faisons-nous pour y remédier ?
Comme toute solution technologique, cette méthodologie doit être appuyée par des outils et des personnes qui savent les utiliser.
EDR (Endpoint Detection and Response)
Au cours des cinq dernières années, la technologie EDR (Endpoint Detection and Response) est devenue un outil de choix pour les équipes de sécurité.
Contrairement à un SIEM, qui collecte et tente de corréler les logs d’événement de différents produits, la technologie EDR est un outil conçu à cet effet. Son agent endpoint collecte exactement les types de données les plus utiles pour détecter et investiguer les menaces. La console comprend les données, les enrichit, connecte les activités entre elles, permet de lancer des actions de réponse (qui sont exécutées par l’agent) simplifiant ainsi les investigations.
Aussi puissants que soient les outils EDR, ils se limitent à la détection et à la réponse au niveau des endpoints. Il ne s’agit pas là d’une mauvaise chose. En effet, si vous deviez choisir un seul endroit pour concentrer vos efforts de détection et de réponse, les endpoints restent sans aucun doute un bon choix. Ils constituent une source de données riche, le principal point d’interaction avec vos utilisateurs et une zone de contrôle efficace pour stopper les menaces. Se concentrer uniquement sur les endpoints limite également les données et l’interface utilisateur, rendant ainsi cet outil plus rationnel.
Néanmoins, de nombreuses actions ne peuvent tout simplement pas être menées en travaillant au niveau des endpoints de manière isolée. Après tout, votre environnement IT est une structure composée de réseaux interconnectés, d’outils de communication, d’appareils mobiles, d’applications Cloud, etc. Pour protéger votre infrastructure IT de manière plus globale, il serait utile de disposer d’un système de détection et de réponse intégré. Nous entrons donc dans l’univers de la technologie XDR (Extended Detection and Response).
XDR (Extended Detection and Response)
La technologie XDR reprend l’idée de l’EDR en étendant son champ d’application. Au lieu de se concentrer uniquement sur les endpoints, elle intègre les données d’autres outils de sécurité, tels que les pare-feu, les passerelles de messagerie, les outils de Cloud public et les produits de gestion des menaces mobiles.
Étant donné que XDR est encore une technologie émergente, la composition exacte varie d’un éditeur à l’autre, mais certains composants récurrents incluent :
- Des capteurs qui fournissent une télémétrie concernant différents aspects de l’infrastructure IT. Il peut s’agir de produits existants, tels que la protection endpoint ou un pare-feu, ou de composants supplémentaires, comme une appliance virtuelle que vous avez déployée dans votre centre de données.
- Des points d’application qui vous permettent de prendre des mesures, telles que la mise en quarantaine d’un endpoint compromis, le blocage du trafic réseau ou la suppression de malwares. Souvent, les capteurs fonctionnent également comme des points d’application.
- Une plateforme d’analyse et de gestion, généralement basée dans le Cloud. Idéalement, cette dernière est alimentée par l’automatisation et l’enrichissement des données qui rationalisent la détection, l’investigation et la réponse.
- Des API qui permettent une intégration dans les systèmes et les flux de travail existants.
Bien que tous ces composants puissent être connectés manuellement, une solution XDR (Extended Detection and Response) appropriée est conçue pour les faire fonctionner ensemble en tant que système à part entière. Ces derniers ont conscience de l’existence de l’ensemble des composants et inter-opèrent pour rationaliser les flux de travail de détection et de réponse aux menaces.
En fin de compte, ces flux de travail seront gérés par des personnes. Les meilleurs systèmes XDR améliorent l’efficacité de tout professionnel IT ou de la cybersécurité, en offrant des outils intuitifs au novice et un contrôle granulaire à l’analyste-expert en sécurité.
Les entreprises disposant des ressources nécessaires, et comprenant souvent une équipe disponible 24h/24, composée d’analystes hautement qualifiés, peuvent choisir d’effectuer elles-mêmes tout le travail opérationnel. D’autres feront appel à un service MDR (Managed Detection and Response) pour compléter ou sous-traiter entièrement leurs opérations de sécurité.
Dans tous les cas, une plateforme XDR sert d’outil next-gen essentiel pour permettre la détection et la réponse aux menaces à l’échelle d’une entreprise.
Sophos et la technologie XDR (Extended Detection and Response)
La technologie XDR est un nouveau terme pour désigner une catégorie de produits émergente, mais Sophos réfléchit à ce concept depuis longtemps. Cette vision se reflète dans les produits que nous avons mis sur le marché et dans le leadership éclairé dont nous avons fait preuve au cours des dernières années.
Tout d’abord, nous avons Sophos Central, notre plateforme unifiée de gestion et de création de rapports Cloud-native pour tous nos produits next-gen. Nous avons été l’un des premiers éditeurs de sécurité à reconnaître l’importance de regrouper la gestion de la sécurité dans le Cloud, et à ce jour, nous proposons la plus large gamme de produits de sécurité regroupée en un seul et même endroit.
Ensuite, nous avons également Synchronized Security (sécurité synchronisée), que nous avons lancée en 2015. Anticipant le besoin d’un système interconnecté, Sophos a permis une communication bidirectionnelle entre les produits, tels que notre protection endpoint et notre pare-feu next-gen. La visibilité augmentée et la réponse automatisée activées par la sécurité synchronisée sont des étapes vers l’analyse inter-produits et la réponse coordonnée qui servent de base à une solution XDR.
La technologie EDR, bien sûr, sert également de tremplin vers XDR. Sophos propose une solution EDR puissante construite grâce à la meilleure protection endpoint au monde, Intercept X. Les éléments fondamentaux de notre solution EDR, tels que les requêtes flexibles basées sur SQL et les consoles Live Response vérifiables, sont essentiels à la technologie XDR.
Pour les clients qui décident d’être aidés (un peu, voire beaucoup) en matière d’opérations de sécurité, Sophos Managed Threat Response (MTR) propose la technologie XDR (Extended Detection and Response) en tant que service administré. Le service MTR offre une réponse humaine accélérée par machine qui tire parti de notre solution EDR et d’autres produits Sophos Central, tels que XG Firewall et Cloud Optix.
Cette approche s’inscrit pleinement dans notre vision en matière de système XDR entièrement interconnecté. Elle intègre tous les éléments ci-dessus, mais va plus loin avec un référentiel de données central, une recherche multi-produits, des analyses adaptatives, des capteurs programmables, une réponse coordonnée et des API pour bénéficier d’une extensibilité.
Notre récent programme d’accès anticipé pour Sophos XDR vous donne un premier aperçu et illustre tout à fait notre vision. Essayez par vous-même et découvrez comment nous permettons à nos clients, à notre service MTR et à nos partenaires MSP (Managed Service Provider) de proposer une détection et une réponse aux menaces plus efficaces, accessibles et complètes.
La technologie XDR (Extended Detection and Response) et vous
Si votre entreprise est prête à aller au-delà d’une hygiène de cybersécurité de base, la mise en œuvre d’une opération de détection et de réponse XDR (en interne, administrée ou hybride) peut être la prochaine étape logique pour vous protéger contre les menaces cachées.
Si vous disposez déjà d’une opération de détection et de réponse aux menaces, vous pouvez envisager une solution XDR pour consolider les différents éditeurs, améliorer votre efficacité et renforcer la sécurité de votre entreprise.
Pour en savoir plus sur la manière avec laquelle Sophos peut vous aider à bénéficier d’une solution de détection et de réponse aux menaces complète, inscrivez-vous au programme d’accès anticipé pour Sophos XDR ou contacter votre partenaire Sophos.
Billet inspiré de Understanding XDR, the latest evolution in threat detection and response, sur le Blog Sophos.