La technologie XDR est généralement proposée comme solution cloud ou logiciel à la demande (SaaS) ; l’analyste Gartner la définit comme étant « basée sur le SaaS ». Il peut également s’agir de la technologie au cœur de l’offre de détection et de réponse gérées (MDR) d’un fournisseur de cloud ou de solutions de sécurité.
Les solutions de sécurité XDR peuvent intégrer les composants suivants :
Collecte continue des données
La technologie XDR collecte les données de journalisation et de télémétrie des outils de sécurité intégrés pour enregistrer et mettre à jour en permanence tout ce qui se passe dans l’infrastructure : connexions (réussies et infructueuses), connexions réseau et flux de trafic, e-mails et pièces jointes, fichiers créés et enregistrés, processus des applications et des périphériques, configuration et modifications du registre. La XDR recueille également certaines alertes générées par les différents produits de sécurité.
Les solutions XDR ouvertes collectent généralement ces données à l’aide d’une interface de programmation d’application ouverte, ou API. (Les solutions XDR natives peuvent nécessiter un outil de collecte de données léger, ou un agent, installé sur les appareils et les applications.) Toutes les données collectées sont normalisées et stockées dans le cloud, dans une base de données centrale ou un data lake.
Analyse et détection des menaces en temps réel
La technologie XDR associe analyse avancée et algorithmes de machine learning pour identifier les modèles indiquant la présence de menaces connues ou d’activités suspectes en temps réel, au fur et à mesure qu’elles se déploient.
Pour ce faire, XDR met en corrélation les données et la télémétrie des différentes couches de l’infrastructure avec les données provenant des services de renseignement sur les menaces, qui fournissent des informations constamment mises à jour sur les tactiques, les vecteurs de cyberattaques, etc. Les services de renseignement sur les menaces peuvent être propriétaires (gérés par le fournisseur XDR), tiers ou communautaires. La plupart des solutions XDR mappent également les données vers MITRE ATT&CK, une base de connaissances internationale librement accessible sur les tactiques et techniques des pirates.
L’analytique XDR et les algorithmes de machine learning peuvent également faire leur propre enquête, en comparant les données en temps réel aux données historiques et aux bases de référence établies pour identifier les activités suspectes, les comportements anormaux des utilisateurs finaux et tout autre signe d’incident ou de cybermenace. Ils peuvent également séparer les « signaux », ou menaces légitimes, du « bruit » des faux positifs, afin que les analystes de sécurité puissent se concentrer sur les incidents importants. Qui plus est, les algorithmes de machine learning s’appuient sur les données pour apprendre en permanence et mieux détecter les menaces au fil du temps.
La technologie XDR synthétise les données importantes et les résultats des analyses dans une console de gestion centrale qui sert également d’interface utilisateur à la solution. La console offre aux équipes de sécurité une visibilité totale sur chaque problème de sécurité, à l’échelle de l’entreprise, et leur permet de lancer investigations, réponse aux menaces et mesures correctives au sein de l’infrastructure étendue.
Capacités de détection et de réponse automatisées
C’est l’automatisation qui permet à la technologie XDR de réagir promptement. En s’appuyant sur les règles prédéfinies par l’équipe de sécurité, ou « apprises » au fil du temps par les algorithmes de machine learning, la technologie XDR apporte une réponse automatisée pour accélérer la détection et la résolution des menaces, et permettre aux analystes de sécurité de se concentrer sur des tâches plus importantes. La XDR permet d’automatiser les tâches suivantes :
- Trier et prioriser les alertes en fonction de leur gravité ;
- Déconnecter ou arrêter les appareils concernés, déconnecter les utilisateurs du réseau, arrêter les processus système/application/appareil et mettre les sources de données hors ligne ;
- Lancer un logiciel antivirus/antimalware pour analyser les autres points de terminaison du réseau susceptibles d’être touchés par la même menace ;
- Déclencher les protocoles de réponse aux incidents SOAR appropriés, à savoir des workflows automatisés pour orchestrer les différents produits de sécurité en réponse à un incident donné.
La technologie XDR permet également d’automatiser l’investigation et la résolution (voir la section suivante). Toutes ces options d’automatisation permettent aux équipes de sécurité d’accélérer la réponse aux incidents et de prévenir ou de minimiser leur impact.
Investigation et neutralisation des menaces
Une fois la cybermenace isolée, les plateformes XDR permettent aux analystes de sécurité d’approfondir l’investigation. Par exemple, l’analyse forensique et les rapports de « suivi » les aident à déterminer la cause racine de la menace, à identifier les différents fichiers touchés, ainsi que la ou les vulnérabilités que le pirate a exploitées pour pénétrer dans le réseau et s’y déplacer, accéder aux identifiants de connexion ou mener d’autres activités malveillantes.
Munis de ces informations, les analystes peuvent coordonner les outils de résolution pour éliminer la menace. La résolution peut impliquer les mesures suivantes :
- Détruire les fichiers malveillants et les effacer des terminaux, serveurs et appareils réseau ;
- Restaurer la configuration des appareils et applications endommagés, les paramètres de registre, les données et les fichiers d’application ;
- Appliquer des mises à jour ou des correctifs pour éliminer les vulnérabilités à l’origine de l’incident ;
- Mettre à jour mes règles de détection pour éviter que l’incident ne se reproduise.
Traque des menaces
La
traque des menaces (ou traque des cybermenaces) est un exercice de sécurité proactive qui consiste à analyser le réseau à la recherche de menaces pour l’heure inconnues, ou de menaces connues qui n’ont pas encore été détectées par les outils de cybersécurité automatisés de l’entreprise.
Pour rappel, les menaces avancées peuvent rester cachées pendant des mois avant d’être détectées, à préparer une attaque ou une violation à grande échelle. Une traque des menaces prompte et efficace permet d’accélérer la détection et la résolution pour limiter, voire prévenir leur impact.
Les traqueurs de menaces utilisent diverses tactiques et techniques qui s’appuient sur les sources de données et les fonctions d’analyse et d’automatisation employées par la technologie XDR pour assurer détection, réponse et résolution. Par exemple, les traqueurs de menaces peuvent rechercher un fichier, un changement de configuration ou tout autre artefact en s’appuyant sur l’analyse forensique, ou sur les données MITRE ATT&CK décrivant les méthodes de tel ou tel pirate.
Pour soutenir ces efforts, la XDR rend ses capacités d’analyse et d’automatisation disponibles par le biais de l’interface utilisateur ou par des moyens programmatiques. Les analystes de sécurité peuvent ainsi effectuer des requêtes ad hoc, des corrélations avec les services de renseignement sur les menaces, ainsi que d’autres investigations. Certaines solutions XDR comprennent des outils spécialement conçus pour la détection des menaces, comme les langages de script simples (pour automatiser les tâches courantes), et même des outils de requête en langage naturel.