XDR : Acronyme à la mode ou couche de cybersécurité indispensable ?

Bitdefender Enterprise

Octobre 27, 2022

XDR : Acronyme à la mode ou couche de cybersécurité indispensable ?

Le secteur de la cybersécurité regorge d'acronymes, et il arrive souvent qu’il s'agisse simplement d'une nouvelle tournure marketing pour une technologie déjà existante. Aujourd'hui, le marché est animé par les solutions dites « XDR » - ou solutions de détection et de réponse étendues - qui constituent une offre efficace axée sur l'extension de la visibilité, de la détection et des capacités de réponse.

Comme nous l'avons vu lors de la RSA Conference, l’XDR est sur les radars de tout le monde sur le marché de la cybersécurité.     

Les analystes prévoient que le marché de l’XDR passera de 985 millions de dollars en 2022 à 2 358 millions de dollars en 2027, soit un taux de croissance annuel composé de 19,1 %. Mais l’XDR n'est pas simplement un nouvel acronyme - il offre des avantages réels aux équipes de cybersécurité déjà surchargées et une meilleure protection contre les menaces dans les environnements actuels qui sont de plus en plus distribués.

Bien que de nombreux fournisseurs de cybersécurité prennent le train en marche, peu d’entre eux ont intentionnellement conçu et développé une solution XDR holistique et native comme l'a fait Bitdefender. Au lieu de cela, la plupart ont « bricolé » une variété d'outils de sécurité, y compris des technologies de détection et de réponse au niveau des endpoints (EDR) et des solutions de gestion des informations et des événements de sécurité (SIEM), et l'ont appelée XDR. Mais cette approche ne peut pas offrir les avantages d'une solution XDR développée spécifiquement en tant que couche de détection unifiée avec des capacités de réponse intégrées et une expérience utilisateur intégrée.

Passage au crible des acronymes actuels : EDR vs. MDR vs. XDR

Les solutions EDR et les services MDR (détection et réponses managées) sont deux options de sécurité majeures et ont chacune leurs avantages. En surveillant tous les endpoints d'une organisation (ordinateurs de bureau et portables, smartphones et serveurs), les solutions EDR couvrent efficacement les points d’entrée où la plupart des attaques se produisent. Qu'il s'agisse de tentatives de phishing ou de téléchargements involontaires de logiciels malveillants par des employés, la plupart des attaques pénètrent dans une entreprise par l'intermédiaire d'un endpoint.

Les solutions EDR fournissent une couche de détection qui analyse la télémétrie et les événements provenant des terminaux, effectue une analyse et signale à l'équipe de sécurité s'il s'agit d'un incident. Les services MDR font de même, via un SOC managé, tout en ajoutant l'avantage d'une surveillance 24h/24- 7j/7 par des experts en sécurité qualifiés qui peuvent également trier les incidents et mener des enquêtes.

L'EDR et le MDR offrent tous deux des avantages importants aux organisations, mais l'XDR fait passer la détection et la réponse à un niveau supérieur.

Les bénéfices de l’XDR

Ayant évolué à partir des solutions EDR, l’XDR offre une plus grande couverture en incorporant des informations de télémétrie et d'événements provenant d'un ensemble beaucoup plus large de sources. L’XDR étend la couverture au-delà des endpoints pour inclure des données provenant de capteurs et de sources au sein de l'ensemble du réseau. Par exemple en ajoutant la télémétrie des systèmes d'identité et d'authentification, des outils de productivité (comme Office 365), et même des systèmes dans le cloud.

Mais l’XDR ne se limite pas à l'ajout de sources de données.

Voici cinq aspects clés que les organisations doivent rechercher dans une solution XDR native :

Une couche de détection partagée

L'un des principaux facteurs de différenciation entre une véritable solution XDR et un ensemble d'outils de sécurité simplement reconditionnés en XDR est une couche de détection commune. Comme nous l'avons mentionné plus haut, certains fournisseurs de solutions de sécurité regroupent un outil de détection pour les endpoints, un outil pour le réseau et un outil de réponse distinct, et appellent cela une solution XDR. Qui plus est, certains fournisseurs attendent de leurs clients qu'ils intègrent ces différents produits et la logique de détection nécessaire à la gestion des incidents, ce qui ne fait qu'augmenter la charge de travail du personnel informatique.  

Une véritable solution XDR doit comporter une couche de détection partagée qui couvre tous les capteurs et toutes les sources de données de l’organisation. Seule une plateforme XDR unifiée reposant sur une couche de détection partagée peut permettre d'identifier les menaces à différents stades de la chaîne d'attaque et de destruction, de recouper les données provenant de différentes sources et de mieux comprendre les incidents. En outre, Bitdefender XDR fournit des capacités de réponse intégrées à tout moment où la menace est identifiée, ce qui permet aux analystes de sécurité de réaliser leur travail de manière plus efficace.

Une couverture de l'ensemble de la chaîne d’attaque

Grâce à une couche de détection partagée, les équipes de sécurité peuvent détecter les menaces et intervenir à tout moment de la chaîne d'attaque et de destruction.

Par exemple, avec les solutions EDR, les équipes de sécurité ne peuvent identifier une attaque qu'au moment de l'exploitation et de « l'installation » de la chaîne d’attaque qui ont lieu sur les endpoints. Mais avec l’XDR, les équipes de sécurité peuvent remonter beaucoup plus loin afin d’identifier les attaques plus tôt. Elles peuvent les identifier alors qu’elles sont encore qu’au stade de la reconnaissance précoce, par exemple lorsqu'un attaquant teste le système d'authentification pour voir s'il peut pénétrer dans l’organisation. Les équipes de sécurité peuvent également repérer les attaques qui ont lieu sur le réseau, par exemple lorsque des systèmes de commande et de contrôle (C&C) sont utilisés pour transmettre des données d'une manière qui ne devrait pas l'être. Avec la bonne solution XDR, la détection s'étend également au cloud public et aux systèmes de productivité tels qu'Office 365, ce qui permet de repérer les attaques au stade de la livraison, comme les tentatives de phishing et les ransomwares diffusés par e-mail, ou au stade de l'exfiltration.

En bref, une plateforme XDR unifiée avec une couche de détection partagée offre aux analystes de sécurité une couverture beaucoup plus large et davantage de possibilités d'identifier et de stopper les menaces à toutes les étapes de la chaîne d’attaque.

Picture1-Oct-27-2022-09-31-25-4428-AMUne corrélation entre les événements

Grâce à une plateforme XDR unifiée reposant sur une couche de détection partagée, les équipes de sécurité peuvent recouper les données et les événements provenant de divers capteurs et sources dans toute l’organisation afin d'identifier les activités connexes et de dresser un tableau plus complet de l'incident. Par exemple, elles peuvent identifier les activités connexes en fonction de l'heure, de la source de l'adresse IP, du comportement ou d'autres activités. L'analyste de sécurité peut ainsi fournir une analyse beaucoup plus complète.

Sans cette couche de détection partagée et la corrélation entre les événements, les équipes de sécurité peuvent être en mesure d'identifier la cause profonde d'une attaque pour une analyse post-incident, mais elles n'ont pas la capacité de stopper une attaque en cours grâce à une vue complète de ce qui est en train de se passer. La couche partagée et la corrélation inter-événements d'une plateforme XDR fournissent une image complète de ce qui se passe et permettent une approche plus ciblée de la réponse. Les analystes de sécurité peuvent voir le premier incident qui a eu lieu dans la chaîne d’attaque, revenir en arrière et suivre ce chemin pour stopper l'attaque avant qu'elle ne se propage davantage.

Une réponse améliorée aux incidents

Une solution XDR doit également fournir aux équipes de sécurité des capacités de réponse intégrées. Étant donné que l’XDR fournit une couverture sur une plus grande partie de l'organisation, les analystes de la sécurité peuvent répondre partout où l'attaque a été identifiée, que ce soit sur les endpoints, au niveau du réseau, dans le cloud ou à travers les applications de productivité. Avec une couche de réponse partagée, ils peuvent cibler leur réponse et savoir exactement quel processus stopper ou quelles machines déconnecter pour bloquer l’incident.

Une solution XDR doit fournir à la fois des réponses automatisées, telles que le blocage des connexions réseau malveillantes, et des capacités de réponse manuelle recommandées en un clic, telles que l'isolation de la machine ou la réinitialisation des informations d'identification de l'utilisateur. Un plus grand nombre de points de couverture et la possibilité de capturer plus de contexte autour des menaces signifient également un temps de réponse plus rapide.

Une expérience intégrée pour les analystes

L'expérience utilisateur est un aspect important d'une solution XDR efficace et peut constituer un avantage significatif pour les analystes de sécurité. Une couverture plus large, une détection accrue et davantage d'informations sont contre-productives si elles ne font qu'augmenter la charge de travail ou créent du « bruit » inutilement.

Bitdefender GravityZone XDR fournit un aperçu facile à comprendre de l'ensemble des incidents - y compris les machines, systèmes et capteurs impactés - une chronologie des incidents et plus encore, via des tableaux de bord et rapports faciles à appréhender. Les équipes de sécurité peuvent ensuite transmettre le résumé aux parties prenantes afin de leur fournir un aperçu de la situation. En même temps, les équipes de sécurité ont également la possibilité de creuser plus profondément dans les détails et de voir chaque utilisateur, activité, événement, système ou fichier qui a été touché dans le cadre de l'incident. Ce niveau de détail est utile non seulement pour l'analyse des incidents, mais aussi pour le tri post-incident et l'analyse des causes profondes.

Conclusion

Dans la jungle des acronymes de la cybersécurité, il n'est pas surprenant de se demander si l’XDR est simplement un mot à la mode, ou un reconditionnement de l’EDR ou du MDR. Lorsqu'il est développé correctement et dans un but précis, la réponse est "non".

Une plateforme XDR unifiée et native comme GravityZone, avec une couche partagée pour la détection et la réponse, un large éventail de couvertures, une corrélation entre les événements et une expérience utilisateur intégrée, offre une protection bien plus importante contre les menaces sophistiquées que l'EDR ou le MDR seuls. Les professionnels de la sécurité doivent garder ces aspects à l'esprit lorsqu'ils évaluent des solutions pour trouver la plateforme XDR qui convient à leurs besoins.

BSG-Awards-Infographic_v4 (2)-2-1

 

Contact an expert

tags


Auteur


Bitdefender Enterprise

Bitdefender is a cybersecurity leader delivering best-in-class threat prevention, detection, and response solutions worldwide. Guardian over millions of consumer, enterprise, and government environments, Bitdefender is one of the industry’s most trusted experts for eliminating threats, protecting privacy, digital identity and data, and enabling cyber resilience. With deep investments in research and development, Bitdefender Labs discovers hundreds of new threats each minute and validates billions of threat queries daily. The company has pioneered breakthrough innovations in antimalware, IoT security, behavioral analytics, and artificial intelligence and its technology is licensed by more than 180 of the world’s most recognized technology brands. Founded in 2001, Bitdefender has customers in 170+ countries with offices around the world.

Voir toutes les publications

Actualités Les + populaires

FOLLOW US ON SOCIAL MEDIA


SUBSCRIBE TO OUR NEWSLETTER

Don’t miss out on exclusive content and exciting announcements!

Vous pourriez également aimer

Marque-pages


loader