XDR : qu’est-ce que c’est, comment ça marche et comment les MSP l’utilisent ?
On parle de la technologie XDR (eXtended Detection and Response) depuis quelques années maintenant, mais ce mot à la mode dans le secteur soulève tout de même une question fondamentale : de quoi parle-t-on vraiment et quels en sont les tenants et les aboutissants ? Selon Gartner, qui a défini le terme pour la première fois en 2020, XDR est un outil de détection des menaces et de réponse aux incidents spécifique au fournisseur qui intègre en mode natif plusieurs produits de sécurité dans un système d’opérations de sécurité cohérent.
Aujourd’hui, 62 % des professionnels de la sécurité affirment « très bien connaître » le terme XDR, contre seulement 24 % en 2020. Malgré une nette progression, ils sont encore 29 % à déclarer « connaître un peu », « ne pas bien connaître » ou « ne pas connaître du tout » la technologie XDR, selon une récente étude ESG.
Comme tout le monde ne sait pas encore précisément ce qu’est XDR, nous allons approfondir le sujet. La technologie de détection et de réponse étendues répond spécifiquement au besoin de nouveaux niveaux d’agrégation, de corrélation et d’analyse de la télémétrie de sécurité pour protéger une surface d’attaque de plus en plus diversifiée et faire face à l’évolution constante du paysage où les menaces deviennent de plus en plus complexes à détecter. Avec l’intégration des fonctionnalités XDR dans l’infrastructure d’une entreprise, les événements de sécurité provenant de diverses sources et ressources peuvent être analysés et corrélés pour déterminer quelles activités ont lieu. XDR partage les informations provenant d’une plateforme de sécurité unique pour des réponses rapides et automatisées qui réduisent la charge de travail du personnel de sécurité.
La corrélation était déjà présente dans la première version de WatchGuard ThreatSync, un moteur dans le Cloud qui analysait les données de logs provenant des capteurs hôtes et des appliances Firebox pour identifier les comportements malveillants. Cependant, l’ancienne solution TDR (Threat Detection and Response) n’utilisait que la télémétrie des endpoints pour détecter les fichiers malveillants et répondre aux actions lancées dans le Cloud, en corrélant les événements réseau avec les fichiers et les processus individuels intervenant sur l’endpoint. Aujourd’hui, ThreatSync a évolué pour devenir une solution XDR en intégrant les solutions de sécurité des endpoints et du réseau au sein d’une plateforme unique, capable de corréler les informations de détection des menaces provenant de différentes couches de protection et d’orchestrer la réponse des outils.
Comment fonctionne XDR ?
XDR renforce la sécurité en combinant différentes technologies qui génèrent des détections plus précises que lorsqu’elles fonctionnent séparément. XDR collecte et affiche de manière unifiée les détections multiproduits pour les ordinateurs, les serveurs et les firewalls, ce qui fournit aux professionnels de la sécurité le contexte de détection des menaces et leur permet de réagir et d’arrêter les menaces sophistiquées plus rapidement, réduisant ainsi considérablement le risque posé par les menaces de sécurité. Le fait de fournir ces données au travers d’une seule console Cloud élimine également le besoin d’apprendre à utiliser plusieurs consoles. Ainsi, il est possible de détecter des menaces sur des appareils protégés et non protégés en utilisant les flux de données inter-domaines pour contrecarrer des menaces sophistiquées qui ne sont pas visibles sur le périmètre ou l’endpoint.
En outre, l’utilisation des flux de données inter-domaines et de la corrélation des événements a pour effet que les activités peuvent être surveillées pour différents produits de sécurité, ce qui facilite la catégorisation et la détection de scénarios malveillants qui peuvent sembler inoffensifs en soi, mais qui, lorsqu’ils sont contextualisés, deviennent des indicateurs de compromission (IoC), réduisant le temps moyen de détection (MTTD) et permettant de limiter rapidement les impacts potentiels ainsi que la gravité et la portée des incidents.
L’automatisation et la planification des réponses libèrent les analystes des tâches répétitives ou manuelles en agissant sur les détections qui correspondent aux critères préalablement définis. Cela permet d’arrêter des processus, de supprimer des fichiers, d’isoler un endpoint ou de bloquer une adresse IP publique sans l’intervention d’un analyste.
Cas d’utilisation et avantages de XDR pour les MSP
L’utilisation de XDR offre de grands avantages aux fournisseurs de services managés (MSP) lorsqu’il s’agit de prendre en charge la sécurité de leurs clients. Par exemple, la corrélation entre la sécurité du réseau et de l’endpoint peut faire toute la différence en cas de menace persistante avancée (APT). Aujourd’hui, on demande que les fichiers soient téléchargés presque instantanément, de sorte que les firewalls doivent autoriser le téléchargement de fichiers inconnus en même temps qu’ils les envoient dans la sandbox pour analyse. Une fois analysé, si le fichier est jugé malveillant, la technologie XDR le met en corrélation avec un endpoint pour le supprimer de l’appareil.
De même, pour les processus exécutés sur un ordinateur qui ne sont pas nuisibles en soi, mais qui peuvent établir des connexions malveillantes, par exemple des navigateurs ou des clients de messagerie, les fonctionnalités XDR peuvent prendre les données des connexions bloquées sur le firewall et les lier à des applications individuelles sur l’endpoint. Cela permet aux utilisateurs de détecter de nouvelles applications malveillantes ou simplement de découvrir des logiciels malveillants avec un comportement suspect qui nécessite une analyse plus approfondie.
Les cas d’utilisation ci-dessus illustrent comment cet outil peut aider les MSP à protéger les réseaux de leurs clients. Cependant, l’utilisation de XDR possède d’autres avantages, dont les MSP peuvent bénéficier :
-
Visibilité unifiée sur les menaces
XDR offre une plus grande précision et accélère la détection en unifiant les données sur les menaces au sein d’une seule interface. La collecte et la visualisation des détections croisées avec divers produits rendent les MSP plus agiles, car cela leur indique le contexte entourant les détections, qui leur fournit les informations dont ils ont besoin pour réagir et arrêter plus efficacement les menaces sophistiquées.
-
Réduction du temps moyen de détection (MTTD)
Selon les données d’IBM, en 2022, il a fallu aux entreprises 207 jours en moyenne pour identifier un incident de sécurité. Cependant, les entreprises dotées de technologies XDR ont bénéficié d’avantages considérables en termes de temps d’identification et de réponse. Les entreprises qui ont déployé XDR ont raccourci le cycle de vie des incidents d’environ un mois (29 jours), en moyenne, par rapport à celles qui n’ont pas déployé XDR.
-
Orchestration unifiée de la réponse aux menaces
XDR permet aux MSP d’être plus efficaces en offrant un large éventail d’actions de réponse, leur permettant de planifier et d’automatiser plus rapidement la réponse aux menaces sur l’ensemble du réseau à partir d’une seule console, ce qui réduit les risques et offre une précision et une rapidité de réponse améliorées en réduisant le temps de réponse moyen (MTTR). Pour toute entreprise, la capacité à réduire les temps de détection et à faire preuve d’agilité dans les actions de réponse peut faire la différence entre répondre à temps à une menace et l’empêcher de causer des dommages plus importants ou empêcher l’attaque de se propager et de prendre le contrôle des systèmes de l’entreprise.
-
Aucune configuration requise
Certaines solutions XDR nécessitent des connaissances avancées lors de l’installation, de la configuration et du paramétrage de l’outil. La solution XDR WatchGuard ThreatSync fait partie de l’architecture Unified Security Platform®, offrant une expérience utilisateur unifiée et intuitive qui simplifie l’adaptation et l’apprentissage, et, comme elle est multiproduit et entièrement intégrée, elle réduit les coûts associés à la configuration et à l’intégration des solutions.
XDR convient parfaitement aux MSP qui gèrent des PME, car cela leur permet d’augmenter leurs capacités de sécurité de manière automatisée sans avoir besoin de faire appel à des experts en cybersécurité. XDR améliore la visibilité, augmente les capacités de détection dans le cadre de scénarios spécifiques et simplifie la réponse aux attaques et leur remédiation. Découvrez comment WatchGuard peut vous aider à adopter une approche de sécurité basée sur XDR grâce à sa solution ThreatSync