natali_mis - stock.adobe.com
Comprendre ce à quoi correspond le XDR
Cet acronyme est utilisé par un nombre croissant de fournisseurs d’outils de cybersécurité. Mais que cache ce concept de détection et réponse étendues ?
C’est probablement l’acronyme le plus populaire de cette fin d’année 2020 dans le monde de la cybersécurité : XDR, ou eXtended Detection and Response, soit détection et réponse étendues en français. À l’automne, on l’a notamment trouvé en bonne place dans les annonces de Cisco, Cybereason, Cynet, McAfee, Palo Alto Networks, SentinelOne, Trend Micro, ou encore le Français Tehtris. Et il y a fort à parier que le XDR sera régulièrement invoqué en 2021. Mais que cache cet acronyme qui renvoie aisément à un autre, plus connu, EDR, ou Endpoint Detection and Response, ou détection et réponse sur l’hôte ?
D’une certaine façon, le XDR marque la concrétisation d’une promesse qui, en elle-même, n’est pas nouvelle : l’intégration du réseau et de ses hôtes dans une approche consolidée de la sécurité. Sophos l’évoquait déjà début 2014 avec son projet Galileo, concrétisé à partir de la fin 2015 avec la fonction Security Heartbeat. À l’époque, Michel Lanaspèze, directeur marketing de l’éditeur pour l’Europe de l’Ouest, en expliquait l’objectif : « le but est d’aller un cran plus loin dans la manière d’adresser les menaces avancées persistantes […] l’idée consiste à faire fonctionner l’ensemble de nos mécanismes de défense comme un système : protection réseau et poste de travail, chiffrement des données, etc. ».
Sophos figure parmi les « candidats » à la fourniture de systèmes de XDR identifiés par Gartner, aux côtés de Cisco, Fortinet, Fidelis Cybersecurity, McAfee, Microsoft, Palo Alto Networks, Rapid7, Trend Micro, FireEye, et Symantec. Pour le cabinet, « ces fournisseurs ont une compréhension propriétaire des relations entre les données sous-jacentes et peuvent fournir des APIs permettant de lancer des actions automatisées plus efficacement qu’en essayant d’intégrer des produits de fournisseurs multiples ».
Une intégration plus poussée
Deux termes ressortent en particulier de cette analyse : automatisation et intégration. Dans une note d’information à l’intention des clients du cabinet publiée en mars 2020, les analystes Peter Firstbrook et Craig Lawson expliquent : le XDR « décrit une plateforme unifiée de détection et de réponse aux incidents de sécurité qui collecte et corrèle automatiquement les données issues de multiples composants de sécurité propriétaires ».
Pour Gartner, le XDR constitue « une évolution naturelle des plateformes de détection et de réponse sur l’hôte », l’EDR. En allant au-delà et en promettant « d’améliorer la productivité des opérations de sécurité et d’améliorer les capacités de détection et de réponse en intégrant plus de composants de sécurité dans un ensemble unifié qui offre de multiples flux de télémétrie ». De quoi disposer « d’options pour de multiples formes de détection » tout en ouvrant la voie à de « multiples méthodes de réponse ». Surtout, il s’agit de rendre cela plus accessible aux équipes et organisations ne disposant pas des ressources nécessaires pour construire elles-mêmes ce type de plateformes.
D’un point de vue strictement fonctionnel, tout cela n’est pas sans rappeler ce que permettent les systèmes de gestion des informations et des événements de sécurité (SIEM), combinés à des outils d’orchestration et d’automatisation (SOAR).
Et plus étendue
Et ce n’est pas une surprise, car pour Peter Firstbrook et Craig Lawson, les trois premières caractéristiques d’un système de XDR sont : la centralisation de données normalisées ; la corrélation de données et d’alertes de sécurité au sein d’incidents ; une capacité centralisée de réponse à ces incidents. Il s’agit donc là d’apporter notamment une réponse à l’absence de SIEM dans de nombreuses organisations, ou encore à son utilisation limitée au stockage des logs et à la conformité.
Sur le papier, une plateforme de XDR doit donc pouvoir ingérer les données de l’EDR, de la passerelle Web, du système de filtrage de la messagerie, de la passerelle d’accès cloud sécurisé (CASB), des outils de gestion des identités et des accès (IAM), de ceux de prévention des fuites de données (DLP), des pare-feu, des systèmes de détection/prévention d’intrusion (IDS/IPS) et d’analyse du trafic réseau (NTA), etc. On peut ajouter à cela les systèmes d’analyse comportementale (UEBA) ou encore de gestion du renseignement sur les menaces (CTI), voire au-delà, jusqu’aux contrôles de sécurité des environnements cloud.
De là, la plateforme de XDR doit embarquer des capacités de normalisation pour stocker toutes ces données dans la data lake où viendra s’alimenter un moteur de corrélation. En sortie, la plateforme doit proposer des capacités de réponse à incident, d’automatisation, de gestion de workflows, sans oublier des APIs.
Un marché émergent
Si la promesse peut paraître alléchante, force est de constater que l’offre est encore naissante. Les analystes de Gartner soulignent d’ailleurs qu’à ce stade, pour l’essentiel, les plateformes de XDR sont essentiellement proposées par « des fournisseurs dont le portefeuille de produits de protection de l’infrastructure est unifié par leur propre plateforme XDR en mode SaaS ».
Mais la véritable étendue des capacités concrètement offertes dépend des capacités d’intégration avec des produits tiers. D’ailleurs, Peter Firstbrook et Craig Lawson relèvent que « la réalité aujourd’hui est qu’il y a peu de standards communs pour l’intégration de données à ce niveau, ou d’API extensives permettant d’automatiser » effectivement des environnements largement hétérogènes.
Peter Firstbrook et Craig LawsonAnalystes, Gartner
Mais les analystes ne s’attendent pas moins à l’apparition d’acteurs spécialisés et indépendants jouant strictement la carte de l’intégration. Et de citer déjà un premier exemple Huniters.ai.
Face à la jeunesse du marché, Peter Firstbrook et Craig Lawson soulignent plusieurs risques. Le premier consiste à ne pas se bercer d’illusions : plus on intègre de sources de données, plus on génère d’alertes, et si « le XDR est susceptible d’améliorer la situation », en accélérant certaines tâches de corrélation et de qualification, « il est improbable qu’il résolve » le problème.
Et il faut aussi compter avec le risque de se retrouver captif d’un fournisseur, voire au passage de perte en effectivité de sa sécurité : « qu’un fournisseur fasse plusieurs choses qui s’intègrent ne signifie pas qu’il les fasse bien ». Ni qu’il soit capable de supporter les intégrations tierces susceptibles d’apporter une véritable valeur additionnelle.