Qu'est-ce que la détection et la réponse étendues (XDR) ?

Face à l'évolution constante du paysage des cybermenaces, la XDR promet de réduire considérablement les temps d'enquête et de réponse des équipes de sécurité. Mais comme pour toute approche innovante, une certaine confusion peut entourer le concept de la XDR, sa différence avec les solutions de sécurité traditionnelles et les résultats de sécurité que les utilisateurs peuvent en attendre. Lisez la suite pour en savoir plus.

XDR – Signification et définition

La XDR, ou la détection et la réponse étendues, est une technologie de sécurité à plusieurs niveaux qui protège l'infrastructure informatique. Pour ce faire, elle collecte et met en corrélation des données provenant de plusieurs couches de sécurité, notamment les terminaux, les applications, les emails, les clouds et les réseaux, offrant ainsi une meilleure visibilité de l'environnement technologique d'une entreprise. Les équipes de sécurité peuvent ainsi détecter les cybermenaces, enquêter sur celles-ci, et y répondre rapidement et de façon efficace.

La XDR est considérée comme une version plus avancée de la détection et de la réponse au niveau des terminaux (EDR). Alors que l'EDR se concentre sur les terminaux, la XDR se concentre plus largement sur de multiples points de contrôle de sécurité pour détecter les menaces plus rapidement, en utilisant des analyses approfondies et l'automatisation.

Le paysage moderne des cybermenaces

Le paysage de la cybersécurité évolue et se développe rapidement. Au cours de la dernière décennie, les outils de détection et de réponse aux menaces se sont multipliés, chacun essayant de garder une longueur d'avance sur les dernières cybermenaces. Avec l'essor du travail à distance et le transfert d'un nombre croissant de fonctions commerciales vers le cloud, la détection et la réponse ne sont pas toujours des tâches simples, notamment parce que les violations catastrophiques peuvent provenir de n'importe où et à tout moment.

Dans cet environnement numérique à haut risque, il est essentiel d'apprendre à gérer les cybermenaces de façon cohérente et holistique. Les équipes de sécurité doivent s'appuyer sur une intégration plus poussée et une automatisation accrue pour garder une longueur d'avance sur les cybercriminels.

Les caractéristiques du paysage moderne des menaces sont les suivantes :

• Les acteurs malveillants investissent désormais un temps considérable à la collecte de renseignements en amont pour déterminer leur cible, la manière dont ils comptent la cibler et le moment optimal de leur attaque. Ce niveau de pré-planification rend les attaques plus sophistiquées et donc plus difficiles à intercepter.
• De plus en plus, les pirates informatiques travaillent en collaboration les uns avec les autres pour exploiter différents ensembles de compétences. Par exemple, une équipe dont l'expertise réside dans la mise en place d'un accès initial peut travailler avec une équipe spécialisée dans les mouvements latéraux. Cette équipe peut ensuite vendre l'accès à une autre équipe spécialisée dans les ransomwares, qui volera des données à des fins d'extorsion. Ce niveau de collaboration crée une complexité supplémentaire.
• Les cyberattaques touchent désormais de nombreuses zones du réseau. Par exemple, elles peuvent commencer sur le poste de travail d'un employé par un email de phishing ou une IP ouverte qui peut être compromise, mais après avoir rapidement cartographié le réseau, les pirates informatiques peuvent accéder aux centres de données, aux infrastructures cloud et aux réseaux de technologie opérationnelle (TO). La transformation numérique de nombreuses organisations, associée à la progression du travail à distance, se traduit par un élargissement de la surface d'attaque pour la plupart des entreprises.
• Les pirates informatiques sont devenus de plus en plus habiles à dissimuler leurs activités. Pour ce faire, ils réagissent par des contre-incidents afin de dissimuler leurs actions aux défenseurs, c'est-à-dire qu'ils utilisent des outils légitimes de manière malveillante pour masquer leurs traces.
• Les méthodes d'extorsion sont devenues plus élaborées : vol de données, attaques DDoS, ransomware et, dans les cas extrêmes, contact de vos clients pour faire pression sur vous afin que vous payiez leurs frais d'extorsion.
• Dans certaines organisations, l'infrastructure de sécurité peut être cloisonnée sur le réseau. Si les solutions de sécurité indépendantes ne sont pas intégrées, elles peuvent provoquer un trop grand nombre d'alertes sans contexte, submergeant les équipes de sécurité et réduisant leur visibilité sur l'ensemble de la surface d'attaque.

Comme les criminels utilisent des techniques plus avancées pour exploiter les contrôles de sécurité traditionnels, les organisations peuvent avoir du mal à sécuriser les ressources numériques vulnérables à l'intérieur et à l'extérieur du périmètre traditionnel du réseau. Les équipes de sécurité étant sous pression en raison du passage au travail à distance, la pression sur les ressources a été amplifiée. Les entreprises ont besoin de mesures de sécurité proactives et unifiées pour défendre leurs ressources technologiques, y compris les terminaux existants ainsi que les charges de travail mobiles, réseau et cloud, sans surcharger le personnel ni les ressources internes.

Par conséquent, de plus en plus de responsables de la sécurité et de la gestion des risques des entreprises se penchent sur les avantages et la valeur de productivité de la sécurité XDR.

Comment la XDR fonctionne-t-elle ?

La XDR renforce l'efficacité de la sécurité en améliorant les capacités de détection et de réponse grâce à l'unification de la visibilité et du contrôle sur les terminaux, le réseau et le cloud.

En connectant les données des solutions de sécurité cloisonnées, la visibilité des menaces est améliorée, et le temps nécessaire pour identifier une attaque et y répondre est réduit. La XDR facilite les enquêtes avancées et la recherche des menaces dans plusieurs domaines à partir d'une seule console.

De manière générale, le fonctionnement de la sécurité de la XDR comporte trois aspects :

1. Collecte de données : La première étape consiste à rassembler et à normaliser des volumes importants de données provenant des terminaux, des charges de travail du cloud, des emails, du trafic réseau, des conteneurs virtuels et bien plus. Toutes les données sont rendues anonymes et ne comprennent que les éléments indispensables à l'identification des anomalies et des menaces.
2. Détection : Ensuite, l'accent est mis sur l'analyse et la corrélation des données pour détecter automatiquement les menaces secrètes à l'aide d'une intelligence artificielle (IA) et d'un apprentissage machine (ML) avancés.
3. Réponse : Il s'agit ensuite de hiérarchiser les données relatives aux menaces en fonction de leur gravité, afin que les équipes de sécurité puissent analyser et trier les nouveaux événements en temps utile, et automatiser les activités d'enquête et de réponse. Le processus de réponse devrait se dérouler à partir d'un centre unique, comprenant les données, le contexte et les outils pertinents.

La technologie XDR est utile pour indiquer aux analystes les étapes traversées par un pirate informatique en révélant la séquence des processus avant l'attaque finale. La chaîne d'attaque est complétée par des informations provenant de l'inventaire des ressources, comme les vulnérabilités liées à la ressource en question, le ou les propriétaires de celle-ci, son rôle dans l'entreprise et sa réputation observable grâce à la Threat Intelligence.

Les équipes de sécurité étant souvent confrontées à un grand nombre d'alertes au quotidien, l'automatisation du processus de triage et la fourniture aux analystes d'informations contextuelles sont les meilleurs moyens de gérer ce processus. La XDR permet aux équipes de sécurité de faire un usage efficace de leur temps en se concentrant sur les alertes susceptibles de causer le plus de dommages.

Pourquoi les entreprises ont besoin de la XDR

La XDR coordonne les outils de sécurité cloisonnés, en unifiant et en simplifiant l'analyse, l'enquête et la réponse. Cette démarche offre des avantages considérables aux organisations, notamment :

Visibilité consolidée des menaces : 

La sécurité XDR fournit des données rendues anonymes au niveau d'un terminal en combinaison avec les communications du réseau et des applications. Ces informations portent sur les autorisations d'accès, les fichiers consultés et les applications utilisées. La visibilité totale de votre système vous permet de détecter et de bloquer les attaques plus rapidement.

Amélioration des capacités de prévention :

La Threat Intelligence et l'apprentissage machine adaptatif fournissent une capacité de configuration et de renforcement centralisée avec des conseils permettant de prévenir d'éventuelles attaques.

Réponse efficace :

La collecte et l'analyse approfondies des données permettent aux équipes de sécurité de tracer le chemin d'accès et de reconstituer les actions du pirate informatique, ce qui augmente les chances d'identifier les auteurs. Ces données fournissent également des informations précieuses que vous pouvez utiliser pour renforcer vos défenses.

Meilleur contrôle :

La possibilité de bloquer et d'autoriser le trafic et les processus de la liste de blocage garantit que seuls les utilisateurs approuvés effectuant les actions autorisées peuvent accéder à votre système.

Amélioration de la productivité :

La centralisation réduit le volume des alertes et améliore leur précision, ce qui permet de réduire le nombre de faux positifs à passer au crible. Comme la XDR est une plateforme unifiée et non une combinaison de plusieurs solutions ponctuelles, elle est plus facile à gérer et réduit le nombre d'interfaces auxquelles la sécurité doit accéder pendant une réponse.

Restauration des hôtes après une compromission : 

La XDR peut aider les équipes de sécurité à se remettre rapidement d'une attaque en supprimant les fichiers et les clés de registre malveillants, ainsi qu'en restaurant les fichiers et les clés de registre endommagés à l'aide de suggestions de remédiation.

Exemples de cas d'utilisation de la XDR

La technologie XDR est adaptée à un large éventail de responsabilités liées à la sécurité des réseaux. Son application concrète dépendra des besoins de votre organisation et de la maturité de votre équipe de sécurité. Exemples d'utilisation :

Triage :

La XDR peut être utilisée comme outil principal pour agréger les données, surveiller les systèmes, détecter les événements et avertir les équipes de sécurité.

Enquête :

Les organisations peuvent utiliser les solutions XDR comme stockages d'informations concernant les événements. Elles peuvent utiliser ces informations en combinaison avec la Threat Intelligence pour enquêter sur les événements, déterminer leur réponse et former le personnel de sécurité.

Recherche des menaces :

Les données collectées par les solutions XDR peuvent servir de référence pour mener des opérations de recherche des menaces. À leur tour, les données utilisées et collectées lors des opérations de recherche des menaces peuvent être utilisées pour créer de nouvelles informations sur les menaces afin de renforcer les protocoles et les systèmes de sécurité.

Quels sont les avantages de la XDR ?

La technologie de détection et de réponse étendues apporte une valeur ajoutée en regroupant plusieurs outils de sécurité en une plateforme cohérente et unifiée de détection et de réponse aux incidents de sécurité. Voici les principaux avantages de la XDR :

• Consolidation d'un volume important d'alertes en un nombre beaucoup plus restreint d'incidents qui peuvent être classés par ordre de priorité en vue d'une enquête manuelle
• Options intégrées de réponse aux incidents qui fournissent un contexte suffisant pour que les alertes puissent être résolues rapidement
• Options de réponse qui s'étendent au-delà des points de contrôle de l'infrastructure, y compris le réseau, le cloud et les terminaux, afin de fournir une protection complète
• Automatisation des tâches répétitives dans le but d'améliorer la productivité
• Gestion et flux de travail communs à tous les modules de sécurité pour une plus grande efficacité

En résumé, les principaux avantages sont l'amélioration des capacités de protection, de détection et de réponse, l'amélioration de la productivité du personnel de sécurité opérationnel, ainsi que la réduction du coût total de possession pour une détection et une réponse efficaces aux menaces de sécurité.

Que rechercher dans une solution XDR ?

Voici les principales fonctionnalités à rechercher dans une solution XDR :

Commandes indépendantes :

La capacité à s'intégrer à plusieurs technologies sans être dépendant d'un fournisseur.

Corrélation et détection par machine :

Pour faciliter l'analyse en temps utile de grands ensembles de données et réduire le nombre de faux positifs.

Modèles de données préconstruits :

Pour intégrer la Threat Intelligence ainsi que l'automatisation de la détection et de la réponse sans que les ingénieurs logiciels aient besoin de faire de la programmation et de créer des règles.

Intégration à la production :

Plutôt que d'exiger le remplacement des solutions de gestion de l'information et des événements de sécurité (SIEM), des technologies d'orchestration, d'automatisation et de réponse aux incidents de sécurité informatique (SOAR) ainsi que des outils de gestion des cas, une solution XDR devrait s'intégrer à celles-ci pour permettre aux organisations de maximiser la valeur de leur investissement.

Intégration avec la validation de la sécurité :

Lorsque la XDR et la validation de la sécurité fonctionnent de concert, les équipes chargées de la sécurité se rendent mieux compte de la performance de leur pile de sécurité, de l'emplacement des vulnérabilités et des mesures à prendre pour combler les écarts de performance.

La XDR par rapport à d'autres technologies de détection et de réponse

La XDR se distingue des autres outils de sécurité par la centralisation, la normalisation et la mise en corrélation de données provenant de sources multiples – afin de fournir une visibilité complète et de mettre en évidence les menaces avancées.

En collectant et en analysant les données provenant de sources multiples, la technologie XDR permet de mieux valider les alertes, ce qui réduit le nombre de faux positifs et augmente la fiabilité. Cette méthode fait gagner du temps aux équipes de sécurité, et permet des réponses plus rapides et plus automatisées.

La XDR diffère de l'EDR. Les systèmes EDR aident les entreprises à gérer les menaces en se concentrant sur l'activité en cours sur tous leurs terminaux, en utilisant l'apprentissage machine avancé pour comprendre cette activité et définir des réponses, et en utilisant l'automatisation pour prendre des mesures rapides en cas de besoin.

Les systèmes XDR reposent sur ce principe en intégrant des flux de données hors terminaux, comme les réseaux, les emails, les charges de travail dans le cloud, les applications, les appareils, l'identité, les données, l'Internet des objets et bien plus encore. Ces éléments supplémentaires permettent de découvrir un plus grand nombre de menaces, de violations et d'attaques, et de réagir plus efficacement, car vous pouvez piloter des actions sur l'ensemble de votre infrastructure, et pas seulement sur les terminaux. La XDR permet également de mieux comprendre ce qui se passe exactement.

Certaines organisations tentent de gérer les cybermenaces en utilisant une combinaison de solutions EDR et de gestion de l'information et des événements de sécurité (SIEM). Cependant, alors que les solutions SIEM collectent des données superficielles provenant de nombreuses sources, la XDR collecte des données plus profondes provenant de sources ciblées. Ainsi, la XDR fournit un meilleur contexte pour les événements et élimine le besoin de réglage manuel ou d'intégration de données. Les sources d'alertes sont natives de la solution XDR, ce qui signifie que les efforts d'intégration et de maintenance nécessaires à la surveillance des alertes dans un SIEM sont éliminés.

Finalement, plus une menace reste longtemps dans le réseau d'une organisation, plus le pirate informatique a de chances d'endommager les systèmes et de voler des données précieuses. Il est donc crucial d'agir aussi rapidement que possible face à toute menace présumée. Les équipes de sécurité ont besoin de meilleurs outils pour détecter la présence de menaces, ainsi que de moyens plus rapides pour les mettre en évidence et les neutraliser lorsqu'elles se manifestent, afin de réduire les pertes potentielles. En fin de compte, c'est le défi que la XDR est censée relever.

FAQ sur la XDR

Voici quelques questions fréquemment posées sur la sécurité, la technologie et la cybersécurité XDR :

Qu’est-ce que la XDR ?

XDR est l'abréviation de « extended detection and response » (détection et réponse étendues) et désigne une technologie qui surveille et atténue les menaces de cybersécurité. La XDR collecte et met automatiquement en corrélation les données sur plusieurs couches de sécurité (y compris les données relatives aux terminaux, au réseau et au cloud) accélérant ainsi la détection des menaces et permettant une réponse plus rapide et plus précise.

Comment la XDR fonctionne-t-elle ?

La XDR assure une approche proactive de la détection et de la réponse aux menaces. En offrant une visibilité sur toutes les données et en utilisant l'analyse et l'automatisation, la XDR peut faire face aux menaces actuelles de cybersécurité. La XDR collecte les alertes à travers les emails, les terminaux, les serveurs, les charges de travail du cloud et les réseaux, puis analyse ces données pour identifier les menaces. Les menaces sont ensuite classées par ordre de priorité, recherchées et éliminées afin de prévenir les atteintes à la sécurité.

Quelle est la différence entre la XDR et l'EDR ?

La détection et la réponse au niveau des terminaux (EDR) se concentrent sur la surveillance continue et la détection des menaces, ainsi que sur la réponse automatisée. Cependant, cette solution est limitée dans la mesure où elle ne remplit ces fonctionnalités qu'au niveau des terminaux. En revanche, la XDR a les mêmes priorités que l'EDR, mais les étend au-delà des terminaux pour inclure les charges de travail, les applications et les identités des utilisateurs dans le cloud, ainsi que sur l'ensemble du réseau lui-même.

Produits associés :

• Kaspersky Managed Detection and Response
• Kaspersky Endpoint Detection and Response Expert et Kaspersky Anti Targeted Attack Platform

Lecture complémentaire :

• Qu'est-ce que la sécurité des terminaux et comment fonctionne-t-elle ?
• Comment le concept de confiance zéro façonne la cybersécurité à grande échelle
• Comment se produisent les violations de données