stock.adobe.com
EDR, XDR, ou MDR : de quoi votre entreprise a-t-elle besoin ?
Explorez les différences et les similitudes entre EDR, XDR et MDR et le rôle qu’ils jouent dans l’amélioration de l’analyse comportementale pour une meilleure réponse aux menaces.
La cybersécurité moderne des entreprises nécessite une analyse comportementale permanente. Il est essentiel de savoir si les utilisateurs, les matériels, les logiciels ou les services agissent de manière inhabituelle ou suspecte. Les technologies de détection et de réponse sur les hôtes (EDR) et de détection et de réponse étendues (XDR) jouent là un rôle clé.
Mais s’il s’agit de comparer EDR et XDR, l’une d’entre elles convient-elle mieux à certaines organisations qu’à d’autres ? Ou faut-il utiliser les deux ? Découvrez leurs capacités pour prendre une décision.
L’analyse comportementale avec EDR et XDR
L’analyse du comportement des utilisateurs et des entités (UEBA), repose sur la collecte d’informations pertinentes et sur la recherche de comportements mauvais ou anormaux, connus ou simplement divergents de comportements sains connus.
Les mauvais comportements connus sont des tâches qu’une entreprise a identifiées comme ne devant pas être effectuées par une entité, par exemple un PC de bureau qui tente d’effectuer un balayage de ports sur un serveur dans le centre de calcul, ou le PC d’un courtier qui tente de faire tourner un serveur communautaire Discord.
Les comportements anormaux sont des actions qui ne sont pas catégoriquement interdites par la politique, mais qui sont inhabituelles et méritent une enquête plus approfondie – une telle action pourrait s’avérer être une violation de la sécurité. Il peut s’agir, par exemple, d’un assistant administratif qui télécharge des centaines de gigaoctets de coordonnées à partir du CRM, ou d’un compte utilisateur qui se connecte depuis Vladivostok au lieu de Toulouse.
Comment l’EDR gère l’analyse des menaces
Les EDR transforment les terminaux en éléments d’une architecture d’analyse des menaces et les utilisent pour recueillir des données sur la santé du terminal et sur ce qu’il fait. Un EDR peut enregistrer l’utilisateur connecté à la machine, les programmes qui y sont exécutés à un moment donné et ce que ces programmes font sur le réseau ou sur des services spécifiques.
Les équipes informatiques peuvent fournir la fonction EDR par le biais d’un client autonome ou l’intégrer aux outils standard de protection des hôtes qui font office d’antimalware, de pare-feu, de système de prévention des intrusions, etc. Le fait d’être intégré ou d’utiliser les mêmes outils que le système de protection des hôtes (EPP) renforce la partie réponse du système EDR. Les réponses peuvent aller d’une journalisation renforcée à la suppression d’un utilisateur ou à l’arrêt d’un appareil.
Selon l’étude Secure Cloud Access and Policy Enforcement 2021-22 de Nemertes, les organisations qui réussissent le mieux en matière de cybersécurité sont plus susceptibles d’utiliser un agent combiné EPP-EDR.
Comment le XDR gère l’analyse des menaces
Les systèmes XDR effectuent l’analyse comportementale des menaces. Ils appliquent des méthodes allant de la simple comparaison de modèles basés sur l’apprentissage automatique et à l’analyse du langage naturel pour repérer les menaces et les risques. Surtout, ils vont au-delà des seuls serveurs et postes de travail, aidant à éliminer d’éventuels angles morts. Les systèmes XDR travaillent ainsi sur des flux de données provenant de plateformes de serveurs, d’applications, de services cloud et de périphériques de réseaux physiques ou virtuels.
Avec l’ajout de l’EDR, les plateformes XDR extraient également des données des terminaux. La partie « étendue » peut être interprétée comme l’extension de l’analyse à davantage de flux de données, notamment à partir des systèmes EDR, mais n’implique pas un changement de fonction ou d’objectif fondamental.
EDR, XDR ou les deux ? Et quid du MDR ?
En termes simples, l’EDR sans XDR est utile et le XDR sans EDR est utile. Mais dans un déploiement idéal, l’EDR alimente et est piloté par un système XDR.
Les équipes de cybersécurité sont – et ont longtemps été – en manque chronique de personnel et surchargées de travail. Les risques prolifèrent et l’impact économique potentiel d’une violation grave ne cesse d’augmenter. L’élargissement des opérations de sécurité standard pour y inclure la détection et la réponse va inévitablement déclencher un nouveau cycle de « bricolage ou achat » dans les directions en charge de la cybersécurité.
C’est là que les services de détection et de réponse administrés (MDR) entrent en jeu. Les services MDR (ou « managed detection and response », en anglais) peuvent constituer une extension d’un contrat d’externalisation de SOC existant ou une offre plus ciblée achetée en plus ou à la place d’un service SOC. En général, les petites entreprises n’ont pas les ressources nécessaires pour doter un SOC d’un personnel et d’un financement adéquats et seraient bien avisées d’intégrer le MDR dans tout contrat d’externalisation de SOC qu’elles envisagent. Les grandes organisations peuvent probablement gérer la détection et la réponse aux menaces en interne si elles gèrent déjà leur propre SOC.
Les organisations qui externalisent un SOC peuvent décider d’externaliser ce type de réponse aux menaces, car les événements révélés par l’EDR et le XDR sont susceptibles de concerner soit une menace interne, soit une brèche qui a déjà pris racine quelque part dans l’organisation. Dans l’une ou l’autre de ces situations, le service SOC peut avoir un champ d’action limité.
Les organisations qui souhaitent mettre en place un système d’EDR doivent rechercher des produits qui :
- incorporent des fonctions EPP ou s’intègrent étroitement avec un client EPP ;
- s’intègrent d’emblée à leurs systèmes SIEM ou XDR ;
- fournissent des agents pour tous les systèmes d’exploitation pertinents ;
- offrent un éventail fonctionnel identique sur toutes les plateformes et tous les appareils, y compris les ordinateurs de bureau, les ordinateurs portables et les appareils mobiles ; et
- proposent un large éventail d’options de réponse potentielles.
Les organisations qui recherchent une solution XDR doivent, entre autres, tenir compte des éléments suivants :
- l’étendue des sources de données supportées et prêtes à être intégrées ;
- la gamme d’options de réponse ;
- la disponibilité d’une riche bibliothèque de modèles ou de manuels d’exécution pour les réponses ; et
- l’intégration significative de techniques d’intelligence artificielle dans les analyses.
Les recherches de Nemertes ont montré que les organisations qui réussissent le mieux en matière de cybersécurité sont également plus susceptibles d’intégrer l’EDR aux déploiements de services d’accès sécurisé en périphérie, de passerelles d’accès au cloud sécurisé (CASB) et de passerelles web sécurisées en tant que service (SWGaaS). Le tout couvert et intégré au XDR.