Qu’est-ce que la détection et la réponse étendues (XDR) ?

La détection et réponse étendues (ou XDR pour « extended detection and response ») est une architecture de cybersécurité ouverte qui intègre les outils et unifie les opérations sur toutes les couches de sécurité : utilisateurs, terminaux, e-mails, applications, réseaux, workloads cloud et données.Des solutions de sécurité qui ne sont pas nécessairement conçues pour fonctionner ensemble peuvent ainsi interopérer de manière transparente pour prévenir et détecter les menaces, mener des enquêtes et y répondre.

La technologie XDR offre une meilleure visibilité sur les outils et les couches de sécurité pour permettre aux équipes de sécurité surchargées non seulement d’accélérer et d’optimiser la détection et la neutralisation des menaces, mais aussi de capturer des données contextuelles plus complètes afin d’améliorer la prise de décision et prévenir les cyberattaques.

La technologie XDR a été définie pour la première fois en 2018. Depuis lors, la description qu’en font les professionnels de la sécurité et les analystes du secteur a évolué rapidement. Par exemple, de nombreux experts en sécurité décrivaient initialement la technologie XDR comme étant une solution de détection et réponse des terminaux (EDR) sous stéroïdes, étendue à toutes les couches de sécurité de l’entreprise. Mais aujourd’hui, ils estiment que son potentiel dépasse largement l’ensemble d’outils et de fonctionnalités qu’elle intègre. Les experts mettent désormais en avant des avantages tels qu’une visibilité de bout en bout sur les menaces, l’interface unifiée et les workflows optimisés pour la détection, l’investigation et la réponse aux menaces.

En outre, les analystes et les fournisseurs classent les solutions XDR en deux catégories : XDR natives, ce qui veut dire qu’elles intègrent uniquement les outils de sécurité du fournisseur, et XDR ouvertes, c’est-à-dire qu’elles intègrent tous les outils de sécurité de l’écosystème de sécurité de l’entreprise, quel que soit le fournisseur. Cependant, les équipes de sécurité et les centres opérationnels de sécurité (SOC) exigent de plus en plus que même les solutions XDR natives soient ouvertes pour leur permettre d’intégrer les outils de sécurité tiers qu’ils utilisent actuellement ou qu’ils comptent utiliser à l’avenir.

Aujourd’hui, les entreprises sont bombardées de menaces avancées (également appelées menaces persistantes avancées). Ces menaces contournent les mesures de prévention des terminaux et rôdent dans le réseau pendant des semaines, voire des mois. Elles s’y déplacent, obtiennent des autorisations, volent des données et recueillent des informations auprès des différentes couches de l’infrastructure informatique en vue d’une attaque ou d’une violation de données à grande échelle. La plupart des cyberattaques et violations de données les plus préjudiciables et les plus coûteuses (attaques par ransomware, compromission de la messagerie d’entreprise (BEC), attaques par déni de service distribué (DDoS), cyberespionnage) sont des exemples de menaces avancées.

Les entreprises multiplient les outils et les technologies de cybersécurité pour lutter contre ces menaces et neutraliser les vecteurs, ou méthodes d’attaque que les cybercriminels utilisent pour les lancer. Certains de ces outils se concentrent sur des couches d’infrastructure particulières, tandis que d’autres collectent données de journalisation et données télémétriques sur plusieurs couches.

Dans la plupart des cas, ces outils sont cloisonnés : ils ne communiquent pas entre eux. Les équipes de sécurité doivent donc corréler les alertes manuellement pour distinguer les incidents réels des faux positifs, trier les incidents en fonction de leur gravité et les coordonner manuellement pour neutraliser les menaces et réduire leur impact. Selon l’étude sur les organisations cyber-résilientes publiée par IBM en 2021, 32 % des entreprises interrogées utilisent 21 à 30 outils de sécurité différents pour répondre à chaque menace ; 13 % ont déclaré utiliser 31 outils, voire plus.

Par conséquent, identifier et neutraliser les menaces avancées est extrêmement chronophage. Le rapport sur le coût d’une violation de données publié par IBM en 2022 révèle qu’il faut en moyenne 277 jours pour détecter une violation de données et y remédier. Selon cette moyenne, une violation survenue le 1er janvier ne serait pas maîtrisée avant le 4 octobre.

En décloisonnant les solutions ponctuelles spécifiques aux couches, la technologie XDR promet aux équipes de sécurité et aux SOC ultra-sollicités l’intégration et la visibilité de bout en bout nécessaires pour accélérer la détection des menaces, la réponse et la résolution, tout en minimisant leur impact.

Relativement peu de temps après son introduction, la technologie XDR change la donne. Selon le Rapport sur le coût d’une violation de données en 2022, les entreprises ayant déployé la XDR ont pu écourter de 29 % le cycle de vie des violations de données subies, et réduire les coûts de ces dernières de 9 % en moyenne.

La technologie XDR est généralement proposée comme solution cloud ou logiciel à la demande (SaaS) ; l’analyste Gartner la définit comme étant « basée sur le SaaS ». Il peut également s’agir de la technologie au cœur de l’offre de détection et de réponse gérées (MDR) d’un fournisseur de cloud ou de solutions de sécurité.

Les solutions de sécurité XDR peuvent intégrer les composants suivants :

• Outils de sécurité individuels (ou solutions ponctuelles) tels que les antivirus, les solutions d’analyse du comportement des utilisateurs et des entités (UEBA) ou les pare-feux ;
  
  
• Solutions de sécurité spécifiques aux couches : EDR, plateformes de protection des terminaux (EPP), détection et réponse du réseau (NDR), analyse du trafic réseau (NTA) ;
  
  
• Solutions qui collectent des données ou coordonnent les workflows à travers les couches de sécurité, notamment la gestion des informations et des événements de sécurité (SIEM) ou l’orchestration, l’automatisation et la réponse aux incidents de sécurité (SOAR).
   

Collecte continue des données

La technologie XDR collecte les données de journalisation et de télémétrie des outils de sécurité intégrés pour enregistrer et mettre à jour en permanence tout ce qui se passe dans l’infrastructure : connexions (réussies et infructueuses), connexions réseau et flux de trafic, e-mails et pièces jointes, fichiers créés et enregistrés, processus des applications et des périphériques, configuration et modifications du registre. La XDR recueille également certaines alertes générées par les différents produits de sécurité. 

Les solutions XDR ouvertes collectent généralement ces données à l’aide d’une interface de programmation d’application ouverte, ou API. (Les solutions XDR natives peuvent nécessiter un outil de collecte de données léger, ou un agent, installé sur les appareils et les applications.) Toutes les données collectées sont normalisées et stockées dans le cloud, dans une base de données centrale ou un data lake. 

Analyse et détection des menaces en temps réel

La technologie XDR associe analyse avancée et algorithmes de machine learning pour identifier les modèles indiquant la présence de menaces connues ou d’activités suspectes en temps réel, au fur et à mesure qu’elles se déploient.

Pour ce faire, XDR met en corrélation les données et la télémétrie des différentes couches de l’infrastructure avec les données provenant des services de renseignement sur les menaces, qui fournissent des informations constamment mises à jour sur les tactiques, les vecteurs de cyberattaques, etc. Les services de renseignement sur les menaces peuvent être propriétaires (gérés par le fournisseur XDR), tiers ou communautaires. La plupart des solutions XDR mappent également les données vers MITRE ATT&CK, une base de connaissances internationale librement accessible sur les tactiques et techniques des pirates.

L’analytique XDR et les algorithmes de machine learning peuvent également faire leur propre enquête, en comparant les données en temps réel aux données historiques et aux bases de référence établies pour identifier les activités suspectes, les comportements anormaux des utilisateurs finaux et tout autre signe d’incident ou de cybermenace. Ils peuvent également séparer les « signaux », ou menaces légitimes, du « bruit » des faux positifs, afin que les analystes de sécurité puissent se concentrer sur les incidents importants. Qui plus est, les algorithmes de machine learning s’appuient sur les données pour apprendre en permanence et mieux détecter les menaces au fil du temps.

La technologie XDR synthétise les données importantes et les résultats des analyses dans une console de gestion centrale qui sert également d’interface utilisateur à la solution. La console offre aux équipes de sécurité une visibilité totale sur chaque problème de sécurité, à l’échelle de l’entreprise, et leur permet de lancer investigations, réponse aux menaces et mesures correctives au sein de l’infrastructure étendue.
 

Capacités de détection et de réponse automatisées

C’est l’automatisation qui permet à la technologie XDR de réagir promptement. En s’appuyant sur les règles prédéfinies par l’équipe de sécurité, ou « apprises » au fil du temps par les algorithmes de machine learning, la technologie XDR apporte une réponse automatisée pour accélérer la détection et la résolution des menaces, et permettre aux analystes de sécurité de se concentrer sur des tâches plus importantes. La XDR permet d’automatiser les tâches suivantes :

• Trier et prioriser les alertes en fonction de leur gravité ;
  
  
• Déconnecter ou arrêter les appareils concernés, déconnecter les utilisateurs du réseau, arrêter les processus système/application/appareil et mettre les sources de données hors ligne ;
  
  
• Lancer un logiciel antivirus/antimalware pour analyser les autres points de terminaison du réseau susceptibles d’être touchés par la même menace ;
  
  
• Déclencher les protocoles de réponse aux incidents SOAR appropriés, à savoir des workflows automatisés pour orchestrer les différents produits de sécurité en réponse à un incident donné.  

La technologie XDR permet également d’automatiser l’investigation et la résolution (voir la section suivante). Toutes ces options d’automatisation permettent aux équipes de sécurité d’accélérer la réponse aux incidents et de prévenir ou de minimiser leur impact.
 

Investigation et neutralisation des menaces

Une fois la cybermenace isolée, les plateformes XDR permettent aux analystes de sécurité d’approfondir l’investigation. Par exemple, l’analyse forensique et les rapports de « suivi » les aident à déterminer la cause racine de la menace, à identifier les différents fichiers touchés, ainsi que la ou les vulnérabilités que le pirate a exploitées pour pénétrer dans le réseau et s’y déplacer, accéder aux identifiants de connexion ou mener d’autres activités malveillantes.

Munis de ces informations, les analystes peuvent coordonner les outils de résolution pour éliminer la menace. La résolution peut impliquer les mesures suivantes :

• Détruire les fichiers malveillants et les effacer des terminaux, serveurs et appareils réseau ;
  
  
• Restaurer la configuration des appareils et applications endommagés, les paramètres de registre, les données et les fichiers d’application ;
  
  
• Appliquer des mises à jour ou des correctifs pour éliminer les vulnérabilités à l’origine de l’incident ;
  
  
• Mettre à jour mes règles de détection pour éviter que l’incident ne se reproduise.
   

Traque des menaces

La traque des menaces (ou traque des cybermenaces) est un exercice de sécurité proactive qui consiste à analyser le réseau à la recherche de menaces pour l’heure inconnues, ou de menaces connues qui n’ont pas encore été détectées par les outils de cybersécurité automatisés de l’entreprise.

Pour rappel, les menaces avancées peuvent rester cachées pendant des mois avant d’être détectées, à préparer une attaque ou une violation à grande échelle. Une traque des menaces prompte et efficace permet d’accélérer la détection et la résolution pour limiter, voire prévenir leur impact.

Les traqueurs de menaces utilisent diverses tactiques et techniques qui s’appuient sur les sources de données et les fonctions d’analyse et d’automatisation employées par la technologie XDR pour assurer détection, réponse et résolution. Par exemple, les traqueurs de menaces peuvent rechercher un fichier, un changement de configuration ou tout autre artefact en s’appuyant sur l’analyse forensique, ou sur les données MITRE ATT&CK décrivant les méthodes de tel ou tel pirate.

Pour soutenir ces efforts, la XDR rend ses capacités d’analyse et d’automatisation disponibles par le biais de l’interface utilisateur ou par des moyens programmatiques. Les analystes de sécurité peuvent ainsi effectuer des requêtes ad hoc, des corrélations avec les services de renseignement sur les menaces, ainsi que d’autres investigations. Certaines solutions XDR comprennent des outils spécialement conçus pour la détection des menaces, comme les langages de script simples (pour automatiser les tâches courantes), et même des outils de requête en langage naturel.