Si puissant et populaire soit-il, le Endpoint Detection and Response (EDR) a ses limites et ce, même si vous confiez sa gestion à un spécialiste. Comme son nom l’indique, l’EDR se concentre sur les endpoints et détecte les comportements anormaux au moment où ils se déroulent : on ne peut donc pas parler de protection globale. Celle-ci n’englobe en effet ni le fichier corrompu stocké sur les services de stockage partagés comme Google Drive ou Microsoft SharePoint, ni l’attaque visant à prendre la main sur l’Active Directory. Impossible encore pour l’EDR de bloquer un flux réseau pour se protéger d’un malware, alors que faire pour prévenir de tels cas de figure ?
XDR pour une protection étendue au réseau
L’Extended Detection and Response ou XDR est un outil SaaS de détection et de réponse aux cyberincidents qui étend le périmètre de l’EDR pour y inclure le réseau, les annuaires (Active Directories), les outils clouds, les firewalls, les services protégés par un CSPM, etc.
Il intègre nativement diverses fonctionnalités de sécurité dans un système opérationnel cohérent qui unifie les composants (Gartner) et qui s’adapte aux enjeux issus de la cartographie des risques. Ses actions corrélées sont donc la promesse de tout voir, tout faire, partout.
L’XDR s’avère plus efficace dans l’identification de menaces, notamment complexes depuis de multiples vecteurs, car il dispose de diverses capacités de détection (antivirus sur signature, next-gen antivirus sans signature, anti-exploit, anti-ransomware, fileless prevention, vision globale, etc.). Il augmente également la vitesse de réaction en permettant d’isoler plus vite la menace (isolation de poste, d’utilisateur, suppression de droits d’accès sur les fichiers utilisateurs, coupure des flux, etc.).
En étendant le périmètre de l’EDR, le XDR donne une vision globale et sécurise plus en amont et en aval des terminaux. Au niveau des firewalls, il peut par exemple détecter et bloquer les flux provenant de serveurs réputés malicieux. En agissant au niveau des NGAV, il permet également de bloquer un malware présent sur le SI avant que l’attaque ne se déclenche. Enfin, le XDR détecte et atténue les menaces plus tôt dans le cycle (kill chain) en intégrant des outils de supervision emails ou DNS.
Le MDR pour une approche du XDR orientée Service
Parce qu’il adresse un périmètre plus large, un projet d’XDR implique de se poser encore plus de questions que lors du déploiement d’un EDR. Il convient en effet de s’interroger sur la meilleure façon de couvrir l’ensemble du parc, de gérer la remédiation ou encore de se demander jusqu’où automatiser.
À l’image de l’EDR managé, qui permet de profiter de toute la puissance de l’EDR, le Managed Detection and Response (MDR) permet d’exploiter tout le potentiel de l’XDR. Au-delà de l’outil, le service de MDR doit disposer de capacités clairement définies pour répondre aux challenges actuels de la sécurité opérationnelle. Cela se traduit par une approche industrialisée du mode service qui comprend un dashboard, des analytics, un SLA (Service Level Agreement) et un co-pilote qui joue le rôle de conseiller cyber défense du RSSI.
La plupart des services de MDR proposent des fonctionnalités qui permettent à la fois de détecter, d’enquêter et de réagir aux menaces. Pour cela, les équipes impliquées dans la gestion du service doivent être qualifiées pour la veille, la détection et le threat hunting, la threat intelligence ainsi que la réponse aux incidents.
Grâce aux services MDR, vous bénéficiez donc de l’expertise de professionnels, d’une organisation et d’une technologie qui, combinées, améliorent la sécurité de vos infrastructures.
Quelle approche pour un « XDR-as-a-Service » efficient ?
Tout comme l’EDR, le XDR doit donc être intégré dans un service global pour déployer toute sa puissance. Du fait de sa couverture et de ses capacités d’action étendues, il implique un besoin d’accompagnement encore plus fort, d’où la pertinence du MDR.
Cependant, même parmi les adeptes du MDR, on peut distinguer deux approches très différentes : la première, qualifiée de « technologique », consiste pour l’entreprise à choisir un outil puis à en déléguer la gestion alors que la seconde, orientée vers le service, privilégie le choix d’un partenaire de confiance.
« Que l’on choisisse l’une ou l’autre des approches, ce qui relève de la sensibilité de chaque RSSI, le réel enjeu est de s’appuyer sur un partenaire qui saura tirer le meilleur des outils et apporter une réelle expertise. »
La promesse de couverture fonctionnelle du XDR explique en partie l’engouement actuel pour ce type d’outils. Ceux-ci restent cependant très jeunes, il sera donc intéressant de suivre leur évolution et leur adoption, notamment par rapport au parc de solutions de type SIEM déjà en place. Il faut en effet se prémunir d’une approche de la sécurité par la technologie qui se résume trop souvent à l’empilement d’outils. L’une des pistes pour réellement augmenter les capacités de détection et de réponse consiste donc à opter pour des solutions managées : la gestion par un spécialiste garantit en effet à la fois la bonne intégration du service et surtout une exploitation efficiente de votre XDR, devenu MDR.