Alex - stock.adobe.com

Comment évaluer et déployer une plateforme XDR

Toutes les plateformes de détection et réponse étendues ne se valent pas. Mieux vaut se retenir de sauter le pas tant que l’on n’a pas pleinement déterminé ce que l’on attend d’une plateforme XDR.

Les plateformes de détection et de réponse prennent de nombreuses formes. Citons par exemple la détection et la réponse sur les hôtes (EDR), la détection et la réponse sur les réseaux (NDR), et la détection et la réponse aux menaces. La détection et la réponse étendues (XDR) sont un nouveau venu dans la catégorie, qui regroupe de nombreuses fonctions de détection des menaces dans une seule plateforme de cybersécurité.

Avant de vous précipiter et d’adopter le dernier mot à la mode en matière de cybersécurité, apprenez ce qu’est le XDR et quelles sont les caractéristiques à rechercher lors de l’évaluation d’un produit de ce type.

Qu’est-ce que XDR ?

XDR est une plateforme de surveillance de la sécurité en mode SaaS qui recherche et analyse des données pertinentes sur les hôtes, les serveurs, les réseaux et les traitements cloud afin d’identifier les menaces éventuelles. Dans le prolongement de la détection et de la réponse sur les hôtes, on espère qu’une plateforme XDR collecte davantage de données afin de fournir une image plus complète des menaces.

Les systèmes XDR effectuent les tâches suivantes :

  • Collecter les données de télémétrie des menaces à partir d’au moins deux sources, et généralement plus. Il s’agit de données provenant d’hôtes, de serveurs, de pare-feu de réseau et de services tiers de détection des menaces globales.
  • Analyser les données et utiliser des moteurs d’apprentissage automatique pour développer une base de référence pour le comportement « normal ». Une fois cette étape franchie, les données sont surveillées et analysées en permanence pour identifier les anomalies dans le comportement des utilisateurs, des équipements et des services, qui pourraient indiquer une menace de cybersécurité.
  • Mener des actions lorsqu’une anomalie est détectée. En utilisant l’IA, une plateforme XDR peut aider à faire ce qui suit :
    • déterminer l’impact de l’événement de sécurité sur l’ensemble du réseau de l’entreprise ;
    • calculer un niveau de menace spécifique ;
    • effectuer une analyse des causes profondes ; et
    • fournir des étapes de remédiation aux menaces.

Différences à prendre en compte lors de l’évaluation des plateformes XDR

Bien que les plateformes XDR disponibles dans le commerce utilisent des architectures et des processus similaires, il existe des différences distinctes à connaître avant de prendre une décision d’achat. Par exemple, tous les produits XDR ne collectent pas les données des mêmes dispositifs ou composants au même niveau. Une plateforme XDR peut s’appuyer davantage sur les données de détection des hôtes, par exemple, tandis qu’une autre peut mettre l’accent sur la collecte des données circulant sur le réseau.

Le choix du produit XDR qui répond le mieux aux besoins d’une organisation dépend de plusieurs facteurs, dont les suivants :

  • la mesure dans laquelle les utilisateurs sont géographiquement répartis ;
  • l’endroit où résident les applications, les données et les serveurs, par exemple sur place ou dans le cloud ; et
  • si des données d’entreprise sensibles traversent des réseaux non fiables, tels qu’Internet.

L’aspect suivant à prendre en compte est de savoir qui, chez le fournisseur XDR, s’occupe du renseignement sur les menaces et de la chasse aux données sur les menaces externes, et s’il est suffisamment proactif. La plupart des plateformes XDR d’entreprise utilisent leurs propres équipes internes de détection des menaces pour identifier les menaces nouvelles ou émergentes. Par exemple, Cisco s’appuie sur son groupe de renseignement Talos pour identifier les menaces émergentes mondiales, tandis que VMware utilise son unité d’analyse des menaces Carbon Black.

Les informations de renseignement sur les menaces recueillies par ces groupes peuvent être utilisées pour créer automatiquement des politiques de sécurité qui sont ensuite poussées vers les outils de sécurité des clients. La capacité de ces équipes à identifier rapidement les menaces et à créer une politique est un facteur critique pour les exploits visant des vulnérabilités inédites.

Les capacités d’IA intégrées dans une plateforme XDR peuvent également varier considérablement d’un produit à l’autre. Certaines plateformes XDR relèguent l’IA à l’identification des menaces et à la réduction globale des faux positifs. D’autres utilisent l’IA pour l’analyse des causes profondes et les informations de remédiation afin de réduire le temps passé à enquêter, à contenir et à éliminer une menace existante.

Conseils pour le déploiement et l’exploitation de la plateforme XDR

Une plateforme XDR doit disposer de suffisamment de temps pour établir une base de référence du comportement du flux de données, afin de détecter avec précision les anomalies de sécurité.

Il faut également faire preuve de prudence lors de la planification d’un déploiement XDR. Par exemple, il est important de quantifier la quantité de données de journalisation et de télémétrie qui seront collectées et la durée de rétention de ces données. Cela aidera à déterminer la quantité d’espace de stockage dont la plateforme XDR a besoin, ainsi que la bande passante qui sera consommée sur les réseaux locaux, les réseaux étendus et les connexions cloud pour envoyer les données à un agent de collecte de données XDR.

Les projets XDR devraient utiliser une approche de déploiement progressif. Au lieu de déployer les services de collecte de données XDR sur tous les terminaux, serveurs et environnements clouds, commencez par un sous-ensemble de l’une de ces catégories. Apprenez les tenants et aboutissants de la plateforme avant de la déployer sur d’autres types de dispositifs et de réseaux. Cela permet de s’assurer que l’intégration n’affecte pas accidentellement les activités métiers.

Une plateforme XDR doit disposer de suffisamment de temps pour établir une base de référence du comportement du flux de données, afin de détecter avec précision les anomalies de sécurité. Si l’on écourte ce temps de référence, on obtient souvent un grand nombre de faux positifs et d’événements mal diagnostiqués – soyez patient.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)