La technologie XDR ouverte se présente sous la forme d’une solution ou plateforme de sécurité offrant des fonctionnalités de détection et de réponse étendues (XDR) qui prend en charge des intégrations tierces permettant de collecter des formulaires spécifiques de télémétrie afin de favoriser la détection, le Threat Hunting et l’investigation dans différentes sources de données et de prendre des mesures appropriées.
Parfois appelée « XDR hybride », l’approche XDR ouverte intègre des outils disparates au sein de la pile de sécurité : EDR, pare-feu de nouvelle génération (NGFW), gestion des identités et des accès (IAM), protection des workloads cloud (CWP), solutions CASB (Cloud Security Access Broker), etc. En supprimant les silos entre ces outils, l’entreprise peut générer des alertes plus précises, accélérer l’intervention, améliorer les capacités de Threat Hunting et simplifier les investigations.
Qu’est-ce que le XDR ?
Le XDR est considéré comme une évolution de l’EDR. Il s’agit d’une solution de sécurité qui collecte des données télémétriques de sécurité auprès de plusieurs sources, notamment les endpoints, les workloads cloud et la messagerie réseau. Ces données enrichies sur les menaces sont ensuite filtrées et condensées au sein d’une console unique via la plateforme XDR, permettant ainsi aux équipes de sécurité d’identifier et corriger rapidement et efficacement les menaces de sécurité dans plusieurs domaines à partir d’une solution unifiée.
NOUVEAU RAPPORT DE FORRESTER SUR LE XDR
Téléchargez le rapport complet pour découvrir les fonctionnalités essentielles et la stratégie future concernant le XDR.
TéléchargezTypes de solutions XDR
Les solutions XDR relèvent généralement de deux catégories principales :
- XDR ouvert ou hybride
- XDR natif ou fermé
Ces deux catégories se distinguent essentiellement par les types d’outils et de solutions pris en charge par la plateforme XDR. Une solution XDR ouverte est indépendante de l’éditeur et peut intégrer des données provenant de sources et fournisseurs de solutions disparates. Une solution XDR native, en revanche, intègre les outils d’un seul éditeur de sécurité.
Pour en savoir plus sur les différences entre XDR ouvert et XDR natif, consultez notre article connexe : XDR ouvert et XDR natif.
Pourquoi la technologie XDR ouverte est-elle importante ?
Dans un paysage des menaces de plus en plus complexe, la plupart des entreprises s’appuient sur différents outils et éditeurs pour assurer une protection complète. Bien que chacun de ces outils joue un rôle distinct dans le renforcement du niveau de sécurité de l’entreprise, une gestion et exploitation individuelles de chacun d’entre eux est inefficace et entrave la productivité. Les analystes en sécurité sont souvent contraints de passer au crible et de mettre en corrélation manuellement de grandes quantités de données d’alertes et d’événements diverses, générées par différents systèmes, ce qui leur fait perdre un temps précieux en cas d’attaque et augmente la probabilité qu’un cyberadversaire puisse passer inaperçu.
En même temps, la plupart de ces solutions de sécurité sont des outils de pointe, choisis spécifiquement par l’entreprise en fonction de ses besoins particuliers. Le remplacement de ces outils peut s’avérer coûteux, sans compter que la solution de substitution peut ne pas offrir le même niveau de protection.
C’est là que la technologie XDR entre en jeu. Dans un modèle XDR ouvert, l’entreprise peut réunir les données télémétriques essentielles provenant des divers outils de sécurité de ses différents éditeurs au sein d’une même console, permettant ainsi aux analystes en sécurité d’accéder à des données riches et fiables émanant de l’ensemble de la pile de sécurité. En reliant des solutions de sécurité auparavant cloisonnées, l’entreprise peut étendre la visibilité et améliorer la détection, ce qui permet de réduire les délais d’intervention et de renforcer le niveau de sécurité sans ajouter de complexité à la pile de sécurité.
5 avantages de la technologie XDR ouverte
La technologie XDR ouverte est particulièrement adaptée aux entreprises qui ont une approche « sur mesure » de la cybersécurité et dont l’architecture de sécurité utilise des technologies de sécurité provenant de divers éditeurs. Dans ce cas, le modèle XDR ouvert offre plusieurs avantages importants par rapport à une solution XDR native :
- Indépendance vis-à-vis des éditeurs : le modèle XDR ouvert permet aux entreprises de réunir au sein d’une vue unique des données télémétriques disparates provenant de plusieurs partenaires de sécurité. Elles peuvent ainsi tirer le meilleur parti de leurs ressources existantes et continuer à investir dans les outils et solutions les mieux adaptées à leurs besoins.
- Souplesse et évolutivité : dans le modèle XDR ouvert, la notion d’enfermement propriétaire (vendor lock-in) n’existe pas. Il s’agit là d’un avantage crucial dans la mesure où le marché de la cybersécurité évolue en permanence. L’adoption d’une approche XDR ouverte garantit que l’entreprise peut toujours implémenter des solutions de pointe provenant de différents fournisseurs.
- Protection renforcée : avec une solution XDR ouverte, les entreprises peuvent combler les failles de l’architecture de sécurité en implémentant divers outils et solutions provenant de différents éditeurs. En revanche, avec une approche XDR native, les entreprises sont limitées à la gamme d’outils et solutions proposée par leur éditeur désigné.
- Valeur optimisée : dans le modèle XDR ouvert, il n’est pas nécessaire de faire table rase des solutions existantes pour utiliser la plateforme XDR. Au lieu de cela, l’entreprise peut prendre des mesures pour configurer et intégrer différents outils de sécurité au sein de cette vue générale.
- Performances accrues : en fournissant à leurs collaborateurs une vue unique des données télémétriques de sécurité de l’entreprise, les entreprises peuvent non seulement gagner en efficacité, mais également améliorer les performances.
Avantages du XDR
Pour rappel, indépendamment de sa nature, les entreprises bénéficieront d’avantages importants en implémentant une solution XDR native ou ouverte. Notamment :
- Visibilité sur les menaces consolidée : le XDR offre une visibilité granulaire en opérant à plusieurs niveaux, puisqu’il collecte et met en corrélation les données en provenance de la messagerie, des endpoints, des serveurs, des workloads cloud et des réseaux.
- Détections et investigation sans contrainte : les analystes et threat hunters peuvent se concentrer sur les menaces prioritaires, vu que le XDR élimine les anomalies jugées insignifiantes du flux d’alertes. De plus, grâce à l’analyse avancée et au contenu de corrélation intégré dans l’outil, le XDR détecte automatiquement les menaces furtives, évitant ainsi aux équipes de sécurité de devoir passer leur temps à créer, optimiser et gérer les règles de détection.
- Orchestration et intervention de bout en bout : le processus d’investigation et de correction est entièrement guidé grâce à des données contextuelles et télémétriques détaillées offrant notamment des informations sur les hôtes impactés, la cause, les indicateurs de menaces et la chronologie. Des alertes automatisées et des mesures d’intervention avancées peuvent déclencher des flux de travail complexes associant plusieurs outils, qui favorisent une neutralisation chirurgicale des menaces et des gains d’efficacité considérables pour le SOC (Security Operation Center).
Fonctionnalités indispensables d’une plateforme XDR
Fondamentalement, une solution XDR fournie sur une plateforme native au cloud améliore considérablement la visibilité sur les menaces, et accélère les délais d’identification et d’intervention. Cependant, toutes les solutions ne se valent pas.
Les équipes de sécurité doivent réfléchir soigneusement à la plateforme qui servira de base à leur solution XDR afin de garantir une couverture complète, une évolutivité avancée et l’optimisation des ressources. Voici quelques questions à se poser lors de l’évaluation des éditeurs de solutions XDR et de leurs offres.
Données
- La solution ingère-t-elle et centralise-t-elle les données issues des endpoints et des solutions de sécurité de l’entreprise tout entière ?
- La solution exploite-t-elle l’automatisation avancée et des technologies telles que l’intelligence artificielle (IA) et le Machine Learning (ML) pour sonder les données, les mettre en corrélation avec la surface d’attaque ciblée, effectuer des analyses et prioriser les incidents ?
- La solution normalise-t-elle les données et les réorganise-t-elle pour permettre leur utilisation dans des requêtes et des analyses plus poussées dans le cadre d’activités de Threat Hunting et d’investigation ?
- La solution présente-t-elle ces données aux équipes de sécurité dans une console unique qui permet aux utilisateurs non seulement d’accéder à des informations sur les différents domaines à des fins de traque et d’investigation, mais aussi de diriger et d’orchestrer l’intervention ?
Plateforme
- La solution est-elle indépendante des éditeurs ? Prend-elle en charge l’intégration avec différents outils, provenant d’éditeurs divers et variés ?
- Certaines limitations de la plateforme pourraient-elles avoir un impact sur la capacité de l’entreprise à intégrer des solutions à l’avenir ?
- La plateforme prend-elle en charge les configurations et personnalisations avancées, y compris les détections personnalisées, en fonction des besoins uniques de chaque client ?
- La plateforme exploite-t-elle des schémas ouverts et bien définis pour les échanges de données avec des systèmes de sécurité informatique supplémentaires, afin de garantir une communication efficace entre les outils de sécurité ?
- La plateforme est-elle reconnue par les analystes ou groupes sectoriels concernés comme un leader dans le domaine du XDR ?
Expérience utilisateur
- La solution offre-t-elle une expérience utilisateur intuitive et propice aux interactions ?
- Quelles ressources l’entreprise offre-t-elle pour aider les nouveaux membres de l’équipe à se familiariser avec les outils et en garantir l’adoption et l’utilisation correcte ?
COMMENT PASSER À LA TECHNOLOGIE XDR
Téléchargez ce livre blanc pour découvrir les fonctionnalités à rechercher dans toute solution XDR pour en tirer profit au maximum.
TéléchargezCrowdXDR Alliance – L’approche de CrowdStrike en matière de XDR ouvert
Pour tirer parti des avantages du XDR ouvert, CrowdStrike a créé la CrowdXDR Alliance. ll s’agit d’une association d’un nouveau genre, regroupant des entreprises déterminées à mettre en place un système de détection et de réponse unifié et axé sur les menaces au sein de l’écosystème de technologies et de sécurité d’une entreprise. Cette alliance inclut des solutions informatiques et de sécurité à la pointe du secteur, dont Google Cloud, Proofpoint, Zscaler et CloudFlare.
Avantages offerts par la CrowdXDR Alliance :
- Approche unifiée en matière de XDR, avec une ontologie partagée, un langage de requête commun et des flux de travail automatisés spécialisés.
- Visibilité inégalée avec large choix de sources internes et tierces couvrant une multitude de technologies et de domaines.
- Flexibilité et implémentation d’une solution XDR véritablement adaptée à vos besoins. Vous choisissez la portée du XDR pour votre entreprise, les domaines qu’il couvre et les outils que vous voulez intégrer.