Quelles sont les différences entre XDR ouvert et natif ?

Qu’est-ce que le XDR ?

Le XDR est décrit comme une évolution de la détection et de la réponse sur l’hôte, l’EDR. Ce dernier se concentre sur les serveurs et les postes de travail, les endpoints, à partir desquels il collecte des données de télémétrie susceptibles d'aider à détecter des menaces et, surtout, à y répondre.

Avec le XDR, les entreprises vont au-delà des hôtes du système d'information. Les outils de XDR en mode SaaS collectent des données relatives aux menaces à partir du réseau, des services cloud, des serveurs ou encore des systèmes de messagerie électronique. Grâce à l’ingestion centralisée des données, les équipes de sécurité disposent d’une vue plus complète de l’état de la menace à laquelle est confronté leur environnement informatique. En appliquant l’apprentissage automatique et l’analyse comportementale, le XDR fournit des capacités de réponse automatisées, permettant de réagir plus vite aux menaces détectées.

Les plateformes XDR peuvent offrir les avantages suivants :

• Détection améliorée des menaces : Le XDR corrèle les données de plusieurs sources pour une détection plus précise et rapide des menaces.
• Réponse automatisée : Les capacités d'automatisation permettent de répondre aux incidents de manière plus efficace, réduisant ainsi le temps de réponse.
• Visibilité accrue : Le XDR fournit une vue d'ensemble des menaces à travers toute l'infrastructure de l'entreprise, améliorant ainsi la visibilité des équipes de sécurité.
• Réduction des coûts : En consolidant plusieurs outils de sécurité en une seule plateforme, le XDR peut réduire les coûts opérationnels et les ressources nécessaires.
• Amélioration de l'efficacité : Les analyses centralisées et les capacités de réponse permettent aux équipes de sécurité de travailler plus efficacement et de se concentrer sur les menaces critiques.

Les équipes de sécurité adoptent le XDR pour améliorer la détection des menaces, l’investigation et la réponse. Elles disposent là de quoi être plus proactive face aux menaces. Pour Allie Mellen, le XDR s’attaque à 4 problèmes qui pénalisent les entreprises : l’efficacité de la détection ; les taux de faux positifs ; les volumes d’alertes ; et le temps passé à les traiter. Car pour l’analyste, les investigations prennent traditionnellement trop de temps : « les équipes de sécurité peuvent soit répondre rapidement, soit répondre complètement, mais il est très difficile de faire les deux à la fois ».

Qu'est-ce que le XDR ouvert ?

Une plateforme de XDR ouverte, également appelé XDR hybride, se concentre sur les intégrations tierces via des API. Ces plateformes permettent aux organisations de collecter des données de télémétrie et de sécurité provenant d'une variété d'outils et de produits de sécurité.

En tant que produits agnostiques, les plateformes Open XDR peuvent s'intégrer aux outils de sécurité d'autres fournisseurs. Au lieu de remplacer les déploiements de sécurité existants, les équipes de sécurité travaillent avec une plateforme Open XDR centrale conçue pour fournir un plan de gestion centralisé pour leur configuration actuelle.

Les plateformes Open XDR offrent les avantages suivants :

• Les équipes de sécurité n'ont pas besoin d'apprendre plusieurs nouveaux outils car elles peuvent conserver les outils de sécurité existants.
• Les équipes peuvent remplacer les outils de sécurité disparates lorsque nécessaire et au fur et à mesure que les besoins de sécurité de leurs organisations évoluent.
• Elles empêchent l'isolement des outils de sécurité car les plateformes ouvertes rapportent les données et la télémétrie à un tableau de bord de gestion centralisé.
• Elles aident à éviter la dépendance vis-à-vis d'un fournisseur unique.

Un défi avec les outils Open XDR est que les entreprises doivent s'assurer que le produit qu'elles sélectionnent dispose non seulement d'intégrations existantes, mais également de garanties que le produit continuera d'ajouter des intégrations au fil du temps. Les produits de sécurité de niche pourraient être omis car il n'est pas toujours faisable pour les fournisseurs d'ingénierie de créer des connexions pour chaque produit. Les organisations doivent rechercher les produits Open XDR avant de les adopter pour s'assurer qu'ils s'intègrent aux outils de sécurité actuels.

Les plateformes Open XDR séduisent les grandes organisations qui se concentrent sur l'utilisation des meilleurs produits de leur catégorie et qui souhaitent un outil XDR qui superpose leur pile de sécurité.

Les produits Open XDR incluent Exabeam Fusion XDR, ReliaQuest GreyMatter, Stellar Cyber Open XDR, mais aussi les plateformes des éditeurs français HarfagLab et Sekoia.io.

Qu'est-ce que le XDR natif ?

Une plateforme de XDR native, ou XDR fermé, est une plateforme tout-en-un provenant d'un seul fournisseur. Les organisations avec des environnements informatiques homogènes peuvent choisir d'utiliser un produit XDR natif qui intègre les autres produits de sécurité de ce fournisseur.

Un avantage d'un produit XDR natif à fournisseur unique est que les équipes de sécurité n'ont pas à configurer les intégrations. Le XDR natif peut également offrir des capacités d'automatisation plus fluides car il est conçu pour fonctionner avec les autres outils de sécurité du fournisseur dès l'installation.

Les outils XDR natifs ne sont pas sans difficultés. Si de nombreux outils de sécurité d'une organisation ne proviennent pas d'un seul fournisseur, il pourrait être nécessaire de remplacer certains outils existants pour créer un environnement à fournisseur unique. Les plateformes XDR natives peuvent également manquer de capacités d'intégration tierces. Les organisations utilisant le XDR natif peuvent également éprouver une dépendance vis-à-vis du fournisseur et être sujettes à des lacunes ou des angles morts en matière de sécurité.

Les outils XDR natifs peuvent attirer les petites organisations ayant des budgets limités ou les organisations utilisant principalement un seul fournisseur pour tous leurs déploiements technologiques.

Des exemples de plateformes XDR natives incluent Cisco XDR, Microsoft Defender et Cortex XDR de Palo Alto Networks.

XDR vs. EDR, SIEM et SOAR

En tant que technologie relativement récente, XDR est souvent confondu avec d'autres outils de sécurité, tels que l'EDR, le SIEM et l'orchestration, l'automatisation et la réponse de sécurité (SOAR) :

• XDR vs. EDR. Les outils EDR couvrent les terminaux, tels que les PC, les appareils mobiles et les stations de travail, tandis que les plateformes XDR couvrent les terminaux, les actifs cloud, les réseaux, les serveurs, les applications et d'autres outils de sécurité. La plupart des organisations n'ont pas besoin à la fois d'un outil XDR et d'un outil EDR.
• XDR vs. SIEM. Les systèmes traditionnels de gestion des informations et des évènements de sécurité offrent un emplacement central qui ingère les données de journaux de sécurité au sein d'un réseau et fournit des capacités de détection et d'alerte. Les plateformes XDR corrèlent une gamme plus large de données et, contrairement aux SIEM traditionnels, peuvent effectuer des réponses automatisées. Cependant, les plateformes XDR n'offrent pas les fonctionnalités de gestion des journaux, de rétention et de conformité des SIEM. Par conséquent, les organisations utilisant un outil XDR ont toujours besoin d'un SIEM.
• XDR vs. SOAR. Les plateformes de SOAR renforcent les capacités des systèmes SIEM et peuvent automatiser les actions de réponse. XDR n'est pas un remplacement pour SOAR car les plateformes SOAR fonctionnent en étroite collaboration avec les données collectées par les SIEM.