Plateforme XDR unifiée ou basée sur une API : Quelles différences ?
Les termes « unifié » et « intégré » sont souvent employés de manière interchangeable dans le monde des logiciels. Cependant, les responsables de la sécurité doivent comprendre les différences entre des plateformes intégrées basées sur des API et des plateformes unifiées en profondeur au sein d’une entreprise, ainsi que l’impact général significatif qu’elles peuvent avoir, en matière de coût comme d’efficacité. Tout d’abord, il est essentiel de définir les termes utilisés.
-
Intégration basée sur des API : les plateformes XDR intégrées sont généralement développées par plusieurs fournisseurs et se composent d’un certain nombre de solutions de sécurité créées, de manière logique, par des équipes diverses selon des critères différents. Elles ne partagent pas de structure de données, de fonctionnalités, etc. En outre, ces différences d’architecture et de conception se répètent pour chacun des fournisseurs intégrés. Les solutions XDR intégrées sont souvent connectées par des API, possèdent des données entièrement différentes avec plusieurs bases de données non connectées et ne permettent pas un fonctionnement fluide avec d’autres technologies.
-
Unification en profondeur : les plateformes unifiées sont développées par un fournisseur ayant accès au code source des solutions de sécurité et disposent d’une structure de données commune. Cela permet aux fournisseurs d’intégrer en profondeur leurs contrôles de sécurité et de créer une plateforme unifiée (des cas d’usage collaboratif qui ne peuvent pas être mis en place autrement), ainsi qu’une structure de données commune au sein d’une base de données unifiée.
Maintenant que nous comprenons mieux ce qui distingue les plateformes XDR unifiées et intégrées, voici six raisons essentielles pour lesquelles la mise en œuvre d’une solution de détection et de réponse multidomaine (XDR) via une API n’est pas idéale.
Plateformes XDR unifiées ou intégrées : quelle est la différence ?
1. Intégrations en profondeur à travers l’unification ou intégration de surface
Il est important d’obtenir une unification complète des données, des logs et de la télémétrie pour une intégration significative et en profondeur ouvrant la voie à de nouvelles capacités de détection et de réponse. L’intégration de contrôles de sécurité via des API est souvent superficielle, car elles ne partagent pas la même structure de données.
2. Le XDR devient vulnérable au contrôle de version des API
La durabilité d’une solution XDR basée sur des API à moyen et long terme est risquée. Les fournisseurs peuvent appliquer aux API des modifications nécessitant des mises à jour afin de bénéficier des fonctionnalités nouvelles et existantes de ces API. Ces modifications et mises à jour peuvent entraîner des problèmes d’intégration et de compatibilité, ce qui augmente la charge de travail des équipes de sécurité.
3. Absence de capacités d’intégration standards
Même à court terme, l’absence de normes dans les API rend les implémentations de solutions XDR fortement dépendantes de ce que les autres fournisseurs mettent en place dans leur contrôle de sécurité, ce qui complique le fait de récupérer les données de façon cohérente et de répondre aux attaquants de manière ordonnée, quelle que soit la solution intégrée. Il est donc difficile de mettre en œuvre un programme de sécurité multifournisseur et inter-domaines cohérent et complet.
4. Manque de flexibilité pour évoluer à la même vitesse que les acteurs des menaces
Les acteurs des menaces évoluent en permanence et créent de nouvelles techniques d’évasion. La chasse à ces nouvelles techniques nécessite de nouveaux capteurs d’activité, ainsi que la collecte du nouveau type de télémétrie et de données et l’automatisation de son analyse. Il s’agit d’une tâche très active et dynamique. Elle implique de surveiller les nouveaux comportements, de recueillir de nouvelles données de télémétrie et de mettre en œuvre de nouvelles capacités de corrélation de données sur plusieurs domaines. En d’autres termes, les détections et les réponses proactives sont une fonctionnalité dynamique alors que l’intégration d’une API est statique : une fois réalisée, elle reste inchangée pendant longtemps, car son évolution est coûteuse, ce qui nuit à l’efficacité des équipes de sécurité.
5. Problèmes de sécurité et d’évolutivité
Toutes les API ne sont pas sécurisées, et cela constitue la principale préoccupation des fournisseurs lorsqu’ils s’en servent. Les API peuvent rendre la plateforme intégrée vulnérable aux cyberattaques. Elles peuvent également rendre les performances de la plateforme dépendantes de leur conception ainsi que de leur évolutivité verticale et horizontale. Par conséquent, si une API rencontre des problèmes d’évolutivité, cela affectera les performances de toute la plateforme.
6. Absence d’accès aux outils permettant une intégration en profondeur et l'adaptabilité aux nouvelles exigences
Une sécurité unifiée inter-domaines efficace et la capacité de détecter de nouvelles techniques d’attaque inter-domaines ne sont possibles que si l’intégration de contrôles de sécurité est native, possède la même structure de données et est pilotée par un seul fournisseur ayant accès au code source de contrôle. Cette unification au sein d’une seule plateforme de sécurité est le seul moyen possible d’élaborer des cas d’utilisation qui ne seraient pas envisageables autrement.
Retrouvez les cas d'utilisation de l'approche de sécurité renforcée et évolutive de WatchGuard.
Pour en savoir plus sur l’architecture et les avantages de WatchGuard Unified Security Platform, téléchargez le guide Pourquoi choisir WatchGuard et visitez la page Web dédiée à notre Unified Security Platform.