La détection et la réponse étendues, ou XDR, est une architecture de cybersécurité ouverte qui intègre les outils de sécurité et unifie les opérations de sécurité dans toutes les couches de sécurité : utilisateurs, points de terminaison, messagerie, applications, réseaux, charges de travail cloud et données. Avec XDR, les solutions de sécurité qui ne sont pas nécessairement faites pour fonctionner ensemble peuvent interagir de manière fluide pour prévenir, détecter et analyser les menaces et y répondre.

Comme XDR élimine les déficits de visibilité entre les outils et les couches de sécurité, les équipes de la sécurité surchargées peuvent détecter et résoudre les menaces plus rapidement et plus efficacement, et capturer des données contextuelles plus complètes pour prendre des décisions de sécurité plus pertinentes et prévenir les cyberattaques futures.

XDR a été défini pour la première fois en 2018, mais la façon dont les professionnels de la sécurité et les analystes du secteur abordent XDR a beaucoup évoluée depuis. Par exemple, pour de nombreux spécialistes de la sécurité, XDR est avant tout un système de détection et de réponse pour les points de terminaison (EDR), étendu à toutes les couches de sécurité de l'entreprise.Mais aujourd'hui, les spécialistes considèrent que le potentiel de XDR va bien au-delà de la somme des outils et des fonctionnalités qu'il intègre, et soulignes des avantages tels que la visibilité sur les menaces de bout en bout, une interface unifiée et des flux de travail optimisés pour la détection des menaces, l'investigation et la réponse.

En outre, les analystes et les fournisseurs classent les solutions XDR dans deux catégories : les solutions XDR natives, qui intègrent uniquement les outils de sécurité du fournisseur de la solution, et les solutions XDR ouvertes, qui intègrent tous les outils de sécurité de l'écosystème de sécurité d'une organisation, quel que soit le fournisseur. Mais il est de plus en plus évident que les équipes de sécurité des entreprises et les centres d'opérations de sécurité (SOC) attendent des solutions XDR, même natives, qu'elles soient ouvertes et offrent la flexibilité nécessaire pour intégrer les outils de sécurité tiers qu'ils utilisent actuellement ou qu'ils pourraient préférer utiliser dans le futur.

Aujourd'hui, les organisations sont bombardées de menaces avancées (appelées également menaces permanentes avancées). Ces menaces échappent aux mesures de prévention des points de terminaison et sont à l'affût dans le réseau pendant des semaines ou des mois, se déplaçant, obtenant des autorisations, volant des données et recueillant des informations à partir des différentes couches de l'infrastructure informatique pour lancer une attaque ou une violation de données d'envergure. La plupart des cyberattaques et des violations de données les plus dommageables et les plus coûteuses. Les attaques par ransomware, la compromission des messageries d'entreprise (BEC), les attaques par déni de service distribué (DDoS), le cyberespionnage sont des exemples de menaces avancées.

Les organisations se sont armées d'une multitude d'outils et de technologies de cybersécurité pour lutter contre ces menaces et bloquer les vecteurs d'attaque, à savoir des mêmes méthodes que celles utilisées par les cybercriminels pour lancer leurs attaques. Certains de ces outils agissent dans des couches d'infrastructure spécifiques ; d'autres collectent des données de journal et de télémétrie dans plusieurs couches.

Dans la plupart des cas, ces outils sont cloisonnés ; ils ne communiquent pas entre eux. Les équipes de sécurité doivent donc corréler les alertes manuellement pour distinguer les incidents réels des faux positifs et trier les incidents en fonction de leur gravité, puis les coordonner manuellement pour atténuer les menaces et y remédier. Selon l'étude Cyber Resilient Organization Study de 2021 d'IBM, 32 % des entreprises indiquent utiliser entre 21 et 30 outils de sécurité individuels pour répondre à chaque menace, alors que 13 % déclarent en utiliser au moins 31.

Par conséquent, l'identification et la canalisation des menaces avancées prennent trop de temps. Le rapport de 2022 d'IBM sur le coût d'une violation de données révèle que 277 jours en moyenne sont nécessaires pour détecter et résoudre une violation de données. Compte tenu de cette moyenne, une violation qui survient le 1er janvier n'est pas maîtrisée avant le 4 octobre.

En éliminant les cloisonnements entre les solutions spécifiques à une couche, XDR offre aux équipes de sécurité surchargées et aux SOC la visibilité et l'intégration de bout en bout nécessaires pour identifier les menaces plus rapidement, y répondre plus rapidement et les résoudre plus rapidement, tout en réduisant les dommages qu'elles causent.

Dans la période relativement courte qui s'est écoulée depuis son introduction, XDR fait la différence. Selon l'étude de 2022 sur le coût d'une violation de données, les organisations qui ont déployé XDR ont raccourci leur cycle de vie de 29 % et réduit les coûts de violation de 9 % en moyenne par rapport aux organisations qui ne l'ont pas fait.

XDR est généralement utilisé comme solution cloud ou de logiciel en tant que service (SaaS). Un analyste du secteur, Gartner, définit XDR comme étant une solution « basée sur SaaS ». XDR peut être également la technologie de base sur laquelle repose l'offre de détection et de réponse gérées (MDR) d'un fournisseur de solutions de sécurité ou de cloud.

Les solutions de sécurité XDR peuvent intégrer ce qui suit :

• Outils de sécurité individuels (ou solutions ponctuelles) tels que les antivirus, les systèmes d'analyse du comportement des utilisateurs et des entités (UEBA) ou les pare-feux ;
  
  
• Solutions de sécurité spécifiques aux couches, telles que EDR, plateformes de protection des points de terminaison (EPP), détection et réponse réseau (NDR) ou analyse du trafic du réseau (NTA) ;
  
  
• Solutions qui collectent les données ou coordonnent les flux de travail entre les différentes couches de sécurité, notamment, la gestion des informations et des événements de sécurité (SIEM) ou l'orchestration et l'automatisation de la sécurité et la réponse aux menaces (SOAR).
   

Protection continue des données

XDR collecte les données de journal et de télémétrie de tous les outils de sécurité intégrés, créant ainsi un enregistrement continuellement mis à jour de tout ce qui se passe dans l'infrastructure : connexions (réussies ou ayant échoué), connexions réseau et flux de trafic, messages électroniques et pièces jointes, fichiers créés et enregistrés, processus d'application et d'appareil, modifications de la configuration et du registre. XDR collecte également des alertes spécifiques générées par les différents produits de sécurité. 

Les solutions XDR ouvertes collectent généralement ces données à l'aide d'une interface de programmation d'application, ou API, ouverte. (Les solutions XDR natives peuvent nécessiter un simple outil collecte de données, ou agent, installé sur les appareils et les applications.) Toutes les données collectées sont normalisées et stocké dans une base de documents centrale dans le cloud ou lac de données. 

Analyse et détection en temps réel des menaces

XDR utilise des algorithmes avancés d'analyse et d'apprentissage automatique pour identifier des modèles qui indiquent en temps réel les menaces connues ou les activités suspectes.

Pour ce faire, il corrèle les données de télémétrie dans les couches de l'infrastructure avec les données des services de renseignement sur les menaces qui fournissent en continu des information actualisées, des tactiques nouvelles ou récentes, des vecteurs et bien plus. Les services de renseignement sur les menaces peuvent être propriétaires (exploités par le fournisseur XDR ), tiers ou communautaires. La plupart des solutions XDR associent également les données à MITRE ATT&CK, une base de connaissances mondiale librement accessible sur les cybertactiques et les cybertechniques utilisées par les pirates informatiques.

Les algorithmes d'analyse et d'apprentissage automatique XDR peuvent également faire leurs propres recherches, en comparant les données en temps réel aux données d'historique et aux références établies pour identifier les activités suspectes, les comportements anormaux des utilisateurs finals et tout ce qui pourrait indiquer un incident ou une menace de cybersécurité . Ils peuvent également séparer les « signaux », c'est-à-dire les menaces légitimes, du « bruit » des faux positifs, afin que les analystes de sécurité puissent se concentrer sur les incidents importants. Mais surtout, les algorithmes d'apprentissage automatique apprennent en continu à partir des données, afin de détecter plus efficacement les menaces au fil du temps.

XDR résume les données importantes et les résultats d'analyse dans une console de gestion centrale qui sert également d'interface utilisateur (IU) de la solution. À partir de la console, les membres de l'équipe de sécurité bénéficient d'une visibilité totale sur chaque problème de sécurité, à l'échelle de l'entreprise, et lancent des investigations, des réponses aux menaces et des résolutions partout dans l'infrastructure étendue.
 

Fonctionnalités automatisées détection et de réponse

C'est grâce à l'automatisation que XDR peut répondre rapidement. Reposant sur des règles prédéfinies par l'équipe de sécurité, ou « apprises » au fil du temps par des algorithmes d'apprentissage automatique, le système XDR permet d'automatiser les réponses pour accélérer la détection et la résolution des menaces et libérer les analystes de la sécurité pour qu'ils se consacrent à des tâches plus importantes. XDR peut automatiser des tâches telles que :

• Triage et hiérarchisation des alertes selon leur gravité ;
  
  
• Déconnexion ou arrêt des appareils concernés, déconnexion des utilisateurs du réseau, arrêt des processus système/application/appareil et mise hors ligne des sources de données ;
  
  
• Lancement d'un logiciel antivirus/de blocage de logiciel malveillant pour rechercher la même menace sur d'autres points de terminaison du réseau ;
  
  
• Déclenchement des routines (playbooks) pertinentes SOAR de réponse aux incidents (flux de travail automatisés qui orchestre plusieurs produits de sécurité en réponse à un incident de sécurité spécifique).  

XDR  peut également automatiser les investigations et les résolutions des menaces (voir la section suivante). C'est grâce à toute cette automatisation que les équipes chargées de la sécurité peuvent répondre plus rapidement aux incidents et prévenir ou réduire les dommages qu'ils causent.
 

Investigation et résolution des menaces

Lorsqu'une menace de sécurité est isolée, les plateformes XDR offrent aux analystes de la sécurité des fonctionnalités pour approfondir l'analyse de la menace. Par exemple, grâce aux analyses contextuelles et les rapports de « suivi », les analystes de sécurité peuvent déterminer la cause première d'une menace et identifier les différents fichiers affectés et la ou les vulnérabilités que l'attaquant a exploitées pour pénétrer et se déplacer dans le réseau, accéder aux informations d'authentification ou mener d'autres activités malveillantes.

Forts de ces informations, les analystes peuvent coordonner les outils de résolution pour éliminer la menace. La résolution peut impliquer les opérations suivantes :

• Destruction des fichiers malveillants et effacement des points de terminaison, des serveurs et des appareils du réseau ;
  
  
• Restauration des configurations des appareils et des applications, des paramètres de registre, des données et des fichiers d'application endommagés ;
  
  
• Application de mises à jour ou de correctifs pour éliminer les vulnérabilités à l'origine de l'incident ;
  
  
• Mise à jour des règles de détection pour éviter une récurrence.
   

Support de la chasse aux menaces

La chasse aux menaces (ou chasse aux cybermenaces) est un exercice de sécurité proactive au cours duquel un analyste de sécurité recherche sur le réseau des menaces encore inconnues ou des menaces connues qui n'ont pas encore été détectées ou corrigées par les outils automatisés de cybersécurité de l'organisation.

Là encore, des menaces évoluées peuvent se cacher pendant des mois avant d'être détectées, afin de préparer une attaque ou une violation de grande envergure. Une chasse aux menaces efficace et opportune accélère la détection et la résolution de ces menaces et limite ou évite les dommages causés par une attaque.

Les chasseurs de menaces utilisent diverses tactiques et de techniques qui reposent sur les mêmes sources de données, les fonctionnalités d'analyse et d'automatisation que XDR utilise pour détecter les menaces, y répondre et les résoudre. Par exemple, un chasseur de menaces peut vouloir rechercher un fichier donné, une modification de configuration ou un autre artefact sur la base d'analyses contextuelles ou des données ATT&CK de MITRE décrivant les méthodes d'un attaquant.

Pour soutenir ces efforts, XDR met ses fonctionnalités d'analyse et d'automatisation à la disposition des analystes de la sécurité dans une interface ou par programme, afin qu'ils puissent effectuer des recherches ponctuelles, interroger les données, réaliser des corrélations avec les renseignements sur les menaces et d'autres investigations. Certaines solutions XDR comprennent des outils créés spécifiquement pour la chasse aux menaces, tels que des langages de script simples (pour automatiser les tâches courantes) et même des outils d'interrogation en langage naturel.