Qu’est-ce que XDR et comment peut-il bénéficier à votre sécurité? –

XDR attend dans les coulisses depuis un certain temps, mais son moment est peut-être arrivé. Comment cette nouvelle version d’une ancienne stratégie peut-elle aider votre cybersécurité? Voici notre guide rapide.
Sommaire
XDR atteint la masse critique
Il semble que certaines choses prennent juste un certain temps pour gagner du terrain. Il faut un certain temps pour que l’idée se loge dans la conscience collective et commence à avoir une certaine influence sur les décisions qui impliquent la sécurité, les budgets ou les deux. Si le concept est plus une stratégie ou une initiative qu’un produit, il peut s’écouler plus de temps avant que cette idée atteigne une masse critique. Il doit y avoir suffisamment de gens qui en parlent, le mettent en œuvre et le recommandent éventuellement pour que cela prenne de l’élan sur le marché.
Un exemple de cela est le réseau de confiance zéro. Il a été initialement évoqué dans un doctorat. thèse en 1994 par Stephen Paul Marsh. Près de 16 ans plus tard, John Kindervag l’a fait sortir du domaine universitaire et a proposé un moyen pratique de créer un tel réseau, ainsi qu’un point de vue et un état d’esprit pour l’accompagner. C’est ce changement de réflexion – et d’acceptation – qui prend parfois du temps pour rattraper l’innovation pratique.
Aujourd’hui, les réseaux de confiance zéro font l’objet de discussions partout et sont recommandés par le National Cyber Security Center et le National Institute of Standards and Technology.
Un XDR à combustion lente similaire, ou détection et réponse étendues, semble entrer dans son moment. Le XDR est mieux considéré comme une initiative ou une stratégie qui peut être mise en œuvre à l’aide d’une combinaison d’architecture réseau et d’une suite de technologies intégrées.
La vision XDR
Une implémentation XDR nécessite la lutte contre un ensemble de produits de sécurité et d’architectures réseau afin qu’ils interagissent de manière coopérative. L’objectif est de prévenir les cyberattaques réussies en détectant les attaques en cours et en fournissant une réponse automatisée à ces attaques.
La définition de XDR est encore fluide. Différents fournisseurs ont tendance à fausser leur définition de XDR pour ressembler – ou être centrés sur – les technologies et les produits qu’ils ont traditionnellement proposés, qu’ils comprennent parfaitement et qu’ils maîtrisent bien. Néanmoins, une implémentation XDR est susceptible d’inclure des technologies qui fournissent ou traitent ces points:
- Sécurité des terminaux, dans son sens le plus large. Outre les terminaux tels que les PC d’entreprise et les ordinateurs portables, il comprend également des serveurs physiques et virtuels (sur site ou dans des centres de données) et des serveurs virtuels dans le cloud.
- Protection des vecteurs de diffusion de menaces couramment utilisés, tels que les e-mails professionnels et les sites Web et portails d’entreprise.
- Isolation automatique des fichiers et des menaces et sandboxing.
- Renseignements sur les menaces. Cela fournit des analyses, des rapports et des alertes.
Le principe directeur est que l’intégration de la technologie et des analyses avancées accélérera considérablement la détection et la réponse aux menaces. XDR doit détecter les attaques à long terme à faible niveau de touches tout aussi facilement qu’il détecte les logiciels malveillants et les virus. De nombreuses cyberattaques intègrent de longues périodes d’accès à distance secret. Les acteurs de la menace utilisent ce temps pour la cartographie du réseau afin d’assurer l’impact maximum de leur attaque de ransomware, ou pour rechercher des données importantes qu’ils souhaitent exfiltrer.
Les menaces persistantes avancées qui utilisent l’observation à long terme doivent également être détectées par un système XDR efficace. L’analyse et la surveillance permettront de détecter les activités, les modèles de comportement et d’autres signes avant-coureurs qui seraient manqués par les techniques de protection traditionnelles.
Les cyberattaques sophistiquées suivent un processus linéaire, appelé chaîne de destruction – un terme militaire – qui décrit l’exécution progressive de l’attaque.
- Reconnaissance: Recherche d’une vulnérabilité en scannant les ports, en sondant les défenses, en collectant des informations utiles sur d’autres violations de données ou en ingénierie sociale.
- Armement: Création ou sélection d’une charge utile malveillante pouvant être fournie en exploitant une vulnérabilité identifiée.
- Livraison: Livraison d’un ensemble de logiciels militarisés. Cela peut être dû à une attaque de phishing. Il s’agit généralement d’un cheval de Troie d’accès à distance ou d’un autre logiciel malveillant qui donne aux acteurs de la menace un accès secret à votre réseau.
- Exploit: Obtenir l’accès au réseau compromis et effectuer d’autres reconnaissances ou effectuer des actions telles que l’élévation de privilèges.
- Installation: Installation de la charge malveillante de l’attaque. Cela pourrait être un ransomware par exemple.
- Commandement et contrôle (C2): Établissement d’une ligne de communication entre le malware et les serveurs de commande et de contrôle à distance de l’acteur menaçant. Ceux-ci acceptent les informations du malware et envoient des instructions, des mises à niveau et d’autres charges utiles au malware.
- Actions: Les acteurs menaçants exécutent l’attaque et votre réseau est chiffré, supprimé ou endommagé d’une autre manière.
La promesse ou la vision de XDR est de lier étroitement les contrôles et les défenses de sécurité aux opérations de sécurité – le centre des opérations de sécurité, qu’il soit modeste ou sophistiqué – en une solution intégrée de bout en bout capable de détecter les différentes phases d’une chaîne de destruction.
Comment déployer XDR
Vous ne pouvez pas simplement sortir et acheter du XDR, pas plus que vous ne pouvez acheter de la cybersécurité. Dans les deux cas, vous pouvez trouver des fournisseurs qui vous aideront à planifier la lente migration vers XDR et vous conseilleront ou fourniront certains des systèmes dont vous avez besoin pour l’implémenter. Parce qu’il n’y a pas de guichet unique pour XDR, les API ouvertes, les normes industrielles ouvertes et la promotion d’écosystèmes d’utilisateurs et de partenaires sont essentiels à la durabilité de XDR en tant que solution. Les vendeurs et les groupes d’intérêt y travaillent d’arrache-pied.
Tout comme un réseau de confiance zéro, un système XDR est quelque chose qui pourrait être intégré à partir de zéro si vous gérez un site vierge et repartez de zéro. Sans ce luxe, vous devez planifier la manière dont vous allez l’intégrer. Cela implique d’identifier quels outils et systèmes existants peuvent être remplacés ou mis à niveau vers ceux dotés de capacités XDR.
Cela permettra d’identifier les phases en fonction de la durée de vie restante des composants identifiés. Savoir quand ces composants doivent être remplacés ou mis à niveau vous donne un ensemble de points dans le temps. Certains seront autonomes, d’autres peuvent être légèrement avancés ou retardés pendant une courte période pour les regrouper en phases logiques et gérables.
Plus l’organisation est grande, plus il sera difficile de déployer et de convaincre la C-suite qu’il s’agit d’un changement et d’une dépense justifiés. En outre, les entreprises à grande échelle seront probablement en mesure de concevoir ou de mettre en service leur propre équivalent intégré de bout en bout à une implémentation XDR construite à partir d’applications standard. Pour cette raison, XDR est plus attrayant pour les petites et moyennes entreprises de niveau supérieur.
Un ensemble de fonctionnalités qui mûrit
Bien que XDR soit passé sous les feux de la rampe et que de nombreux grands acteurs tels que Fortinet, Cisco et McAfee proposent des offres XDR, il s’agit toujours d’une nouvelle approche du problème de la détection des menaces, des rapports et de la gestion automatisée. Il existe différentes interprétations de ce qui est et de ce qui n’est pas XDR. Sans surprise, ils ont tous tendance à privilégier les technologies et l’expertise produit de chaque fournisseur.
Vous devriez parler aux fournisseurs de XDR, mais aussi parler à vos partenaires de sécurité stratégiques actuels et leur poser des questions sur XDR et quel est leur plan de jeu pour cet espace.
Examinez attentivement vos systèmes actuels de détection et de réponse aux menaces. Qu’est-ce qui fonctionne, qu’est-ce qui ne fonctionne pas et qu’est-ce qui pourrait être amélioré? Peut-être que l’ensemble de la prochaine génération de vos outils actuels de vos fournisseurs existants vous conviendra mieux.
Si XDR est la voie à suivre pour votre organisation, commencez l’exercice de planification pour l’introduction par étapes et impliquez toutes les parties prenantes, y compris vos équipes opérationnelles de sécurité et informatiques.