La détection et l’intervention managées (MDR) sont un service de cybersécurité qui allie technologie et expertise humaine pour mettre en place des opérations de Threat Hunting, de surveillance et d’intervention. La MDR a pour principal avantage de favoriser une identification rapide des cybermenaces et d’en limiter les répercussions sans avoir à augmenter les effectifs.
Arguments en faveur de l’adoption de la MDR par les entreprises
Argument n° 1 : effectifs/ressources
Les entreprises qui peinaient déjà à pourvoir pleinement leurs équipes de sécurité en personnel se heurtent à des défis encore plus grands à l’heure d’adopter des technologies de sécurité innovantes face à un paysage des menaces en constante évolution.
Aujourd’hui, la plupart des entreprises possèdent des outils de sécurité dans leur pile. Néanmoins, elles ont rarement le temps de les gérer correctement.
Si elles manquent de temps et de ressources pour déployer et optimiser pleinement leurs solutions de protection contre des menaces toujours plus sophistiquées, l’investissement consenti dans des outils de pointe risque de se transformer en une arme à double tranchant.
Argument n° 2 : lassitude face aux alertes répétées
La gestion de l’avalanche d’alertes émises par toutes ces nouvelles technologies de sécurité constitue un autre défi. Ce problème, qui ne date pas d’hier, s’exacerbe encore au fur et à mesure de la prolifération des endpoints en raison notamment de l’Internet des objets (IoT), des télétravailleurs, des partenaires de la supply chain connectés et des réseaux hybrides.
La stratégie de réponse à chaque alerte nécessite un renfort de main-d’œuvre et de savoir-faire rarement disponible en interne. Dès lors qu’une menace est jugée dangereuse, l’entreprise se doit de déployer les compétences requises afin d’y remédier et de sécuriser l’endpoint sans tarder, avant que l’intrusion se transforme en une compromission majeure.
Les solutions MDR ont vu le jour pour pallier ces manquements. Les entreprises peuvent rapidement mettre en place une solution MDR capable d’accéder à un réseau distant offrant une expertise et une couverture 24 h/24, 7 j/7 qu’elles auraient du mal à trouver et à pourvoir en effectifs par leurs propres moyens. Ces experts sont sur le pied de guerre jour et nuit. Ils peuvent donc mettre leurs connaissances au service de chaque aspect de la sécurité des endpoints, de la détection à la restauration à un état correct connu, en passant par la prévention d’autres compromissions.
Quels sont les avantages d’une solution MDR ?
Les entreprises qui utilisent une solution MDR peuvent réduire leur délai de détection (et par conséquent le délai d’intervention), qui est généralement de 280 jours, à quelques minutes seulement, ce qui atténue grandement les répercussions d’un incident.
Cependant, le raccourcissement du délai de détection de plusieurs mois à quelques minutes n’est pas le seul avantage. Les entreprises peuvent également :
- Améliorer leur niveau de sécurité et leur résilience aux cyberattaques potentielles en optimisant la configuration de sécurité et en éliminant les systèmes non approuvés
- Identifier et bloquer les menaces larvées et sophistiquées par un Threat Hunting managé permanent
- Faire plus efficacement face aux cybermenaces et restaurer les endpoints à un état correct connu par une intervention guidée et une correction managée
- Réaffecter le personnel en charge d’une réponse à incident réactive et répétitive à des projets plus stratégiques.
Fonctionnement des solutions MDR
Une solution MDR surveille, détecte et neutralise à distance les menaces présentes au sein de votre entreprise. Un outil de détection et d’intervention sur les endpoints (EDR) procure généralement la visibilité nécessaire sur les incidents de sécurité survenant sur les endpoints.
Une cyberveille pertinente, des analyses avancées et des données d’investigation informatique sont transmises à des analystes humains, qui trient les alertes et déterminent la réponse appropriée pour limiter les répercussions et le risque d’incidents réels. Enfin, cette synergie entre fonctionnalités machines et humaines neutralise la cybermenace et restaure l’endpoint touché dans son état pré-infection.
Les fonctionnalités essentielles d’une solution MDR sont les suivantes :
1. Priorisation
Avec la priorisation managée, les entreprises qui peinent à passer au crible les gros volumes d’alertes peuvent fixer des priorités. Souvent désignée par le terme « EDR managée », la priorisation managée combine règles automatisées et inspection humaine. Sa mission ? Distinguer les incidents bénins et les faux positifs des vraies menaces. Les résultats, enrichis en données contextuelles, sont ensuite communiqués dans un flux continu d’alertes de grande qualité.
2. Threat Hunting
Derrière chaque cybermenace se cache un être humain qui prend un malin plaisir à échapper aux contre-mesures de ses cibles. Si les machines sont très intelligentes, elles ne sont pas rusées : aucun système de détection automatisé n’est aussi retors que l’esprit humain. Les threat hunters humains à l’expertise et aux compétences étendues n’ont pas leur pareil pour repérer les menaces les plus furtives et tirer la sonnette d’alarme. Ils ramènent dans leurs filets ce que les couches de défense automatisée ont laissé filer.
3. Investigation
Avec les services d’investigation managés, les entreprises sont plus promptes à cerner les menaces, car elles disposent d’alertes de sécurité contextualisées. Elles ont ainsi une meilleure compréhension des événements qui se sont produits et à quel moment, des équipements touchés et de l’étendue de l’incursion. Grâce à ces informations, elles peuvent orchestrer une réponse efficace.
4. Intervention guidée
Les interventions guidées consistent à offrir aux entreprises des conseils directement exploitables sur la manière de confiner et neutraliser efficacement une menace spécifique. Les entreprises reçoivent des conseils sur des activités aussi fondamentales que l’opportunité d’isoler un système du réseau ou aussi sophistiquées que les modalités de neutralisation d’une menace ou les conditions de la reprise progressive après une attaque.
5. Correction
La dernière étape de tout incident est la restauration. Si cette étape laisse à désirer, tous les efforts consentis par l’entreprise en matière de protection des endpoints l’auront été en pure perte. La correction managée restaure les systèmes à leur état d’origine par l’élimination des logiciels malveillants, le nettoyage du Registre, l’éviction des intrus et la suppression des mécanismes de persistance. Elle remet le réseau dans un état correct connu et empêche d’autres compromissions.
En quoi la sécurité MDR est-elle différente des autres solutions de protection des endpoints ?
MDR vs EDR
La détection et l’intervention sur les endpoints (EDR) fait partie de l’arsenal des fournisseurs de solutions MDR. L’EDR enregistre et stocke les comportements, ainsi que les événements liés aux endpoints et les injecte dans des réponses automatisées et des systèmes d’analyse basés sur des règles. Dès qu’une anomalie est détectée, elle est soumise à l’équipe de sécurité en vue d’une investigation humaine. Avec l’EDR, les équipes de sécurité disposent de bien plus que des indicateurs de compromission (loC) ou des signatures pour comprendre ce qui se passe sur leurs réseaux.
Avec le temps, les offres EDR se sont complexifiées. Elles incluent désormais des technologies telles que le Machine Learning et l’analyse comportementale, et peuvent s’intégrer à d’autres outils complexes. De nombreuses équipes de sécurité internes ne disposent pas des ressources et du temps nécessaires pour tirer le meilleur parti de leurs systèmes EDR. Dès lors, il arrive qu’une entreprise soit moins sécurisée qu’elle ne l’était avant d’avoir acheté sa solution EDR.
Les solutions MDR résolvent ce problème en intégrant expertise humaine, processus matures et cyberveille. Leur mission est d’aider les entreprises à mettre en place une protection des endpoints de qualité professionnelle sans les coûts inhérents au maintien d’équipes de sécurité professionnelles ou d’un SOC (Security Operation Center).
MDR vs MSSP
Les fournisseurs MSSP (Managed Security Services Provider) sont les prédécesseurs de la MDR. Ils assurent habituellement une surveillance générale du réseau et envoient les alertes validées à d’autres outils ou à l’équipe de sécurité, en plus de proposer d’autres services, comme la gestion des technologies, les mises à niveau, la conformité et la gestion des vulnérabilités. Cependant, ils s’abstiennent généralement d’intervenir en présence de menaces. C’est au client qu’incombe cette tâche, qui peut exiger une expertise qui n’est pas toujours disponible en interne. Par conséquent, les clients MSSP doivent confier l’atténuation et la correction à des consultants ou à des fournisseurs.
Les services MDR se concentrent sur la détection et la neutralisation rapides des menaces émergentes. De plus, ils fournissent des fonctionnalités d’atténuation et de correction et peuvent générer une valeur ajoutée immédiate, moyennant un investissement minimal.
MDR vs SIEM managée
La gestion des événements et des informations de sécurité (SIEM) est une vaste catégorie technologique. Toutes les solutions SIEM commencent par agréger les données à partir de nombreuses sources de réseau et d’autres terminaux de sécurité et par les analyser pour y déceler des anomalies symptomatiques d’une activité suspecte. Les capacités des solutions SIEM peuvent ensuite varier considérablement. Certaines se cantonnent aux technologies, tandis que d’autres s’apparentent plus à des services managés d’alerte et de traitement des événements.
Le point commun entre toutes les solutions SIEM, c’est que leurs clients font état de difficultés à résoudre les problèmes mis au jour par les données de ces solutions, pour la simple raison qu’ils ne savent pas interpréter correctement les résultats. Près de 45 % des utilisateurs de solutions SIEM déclarent ne pas disposer de l’expertise nécessaire en interne pour tirer le meilleur parti de leur solution. Certaines solutions SIEM sont en outre coûteuses et gourmandes en ressources. Les solutions MDR, en revanche, ont une empreinte réseau légère et sont vite rentabilisées.
Comment choisir un service MDR – cinq questions à poser
Les solutions MDR comportent un large éventail de services. Par conséquent, avant d’entamer vos recherches, faites d’abord le point sur les fonctionnalités dont dispose déjà votre entreprise. Vous pourrez ainsi choisir une solution qui complète les investissements déjà réalisés en matière de sécurité. Voici cinq questions clés à poser aux fournisseurs de solutions MDR durant la phase exploratoire :
Question n° 1. De quel type d’expertise les analystes de vos équipes MDR disposent-ils ?
La solution choisie est censée vous procurer la maturité et de nouvelles compétences sans avoir à recruter. Mettez-vous à la recherche d’un fournisseur ouvert au transfert de connaissances.
Question n° 2. Votre service MDR a-t-il accès aux données et systèmes requis et, si oui, de manière suffisamment rapide que pour être réellement efficace ?
L’efficacité de votre solution MDR dépendra en grande partie de son accès aux données requises, que ce soit en termes de volume ou de détail. Elle doit en outre disposer de ces données en temps réel. Une solution native au cloud sera davantage susceptible de disposer d’un accès optimal aux données adéquates.
Question n° 3. Comment votre équipe MDR se tient-elle au fait des dernières menaces ciblant votre entreprise ?
Les analystes sécurité ne s’intéressent pas qu’à l’arsenal technologique des cyberadversaires. Ils étudient les facteurs culturels, géopolitiques et linguistiques pour bien cerner les tactiques, techniques et procédures utilisées pour cibler les entreprises. Très peu d’entreprises (voire aucune) possèdent ces compétences en interne. Dès lors, sélectionnez un fournisseur de services MDR qui peut s’en prévaloir.
Question n° 4. De quelle manière votre fournisseur de services MDR compte-t-il communiquer avec votre équipe ?
À un moment donné, l’équipe MDR transférera son flux de travail à votre équipe. Ce transfert doit s’opérer via une plateforme centrale de communication, telle qu’une console unique, pour ne pas créer de nouveaux écueils ou entraîner la nécessité de se former à de nouveaux systèmes. Le transfert doit se faire sans ralentir la réponse de votre équipe.
Question n° 5. Votre service est-il opérationnel 24 h/24 et 7 j/7 ?
La plupart des entreprises ne disposent pas d’équipe de sécurité opérationnelle 24 heures sur 24. Or la couverture MDR est censée être opérationnelle de jour comme de nuit, parce que quand les braves citoyens dorment, les cyberattaquants sont à pied d’œuvre.
See Crowdstrike Falcon In Action
Ce livre blanc s’intéresse à Falcon Complete, la solution MDR de CrowdStrike, et à sa capacité à répondre aux questions ci-dessus.
Télécharger