XDR (eXtended Detection and Response) désigne une approche holistique de la cybersécurité opérationnelle. Elle se démarque par sa capacité à regrouper et à automatiser sur une plateforme SaaS unifiée l’ensemble des données, analyses et réponses aux menaces cyber, quelle que soit leur origine, leur fournisseur, leur spécialisation. La première promesse du XDR est ainsi de fournir une sécurité opérationnelle rendue beaucoup plus efficace en cassant les silos entre les données ou les équipements, c’est-à-dire de :
- Décupler les capacités de détection
- Relier de façon intelligente les différentes capacités pour circonscrire et appréhender la menace
- Automatiser de façon adéquate les actions de réponse à l’incident, par exemple, au moyen de playbooks.
Quelles différences entre XDR, EDR et les autres outils de cybersécurité ?
XDR vs EDR
Comme tout domaine émergent, les idées reçues sur le XDR sont encore nombreuses. Au premier chef, celles qui présentent le XDR comme une version améliorée de l’EDR sont souvent le fait des éditeurs spécialisés en EDR.
Démo live sur l’efficacité opérationnelle de SEKOIA.IO
Au contraire, l’usage du XDR permet tout simplement d’ouvrir complètement les domaines d’observation et d’intervention à l’ensemble du périmètre informatique et non pas uniquement sur les terminaux, sur les réseaux (Network Detection & Response, Firewalls), ou toute autre solution de type front-end ou experte.
Pour autant, il ne renvoie pas non plus à une accumulation des outils de sécurité (EDR, EPP, AV, FW, NDR), comme nous l’avons déjà expliqué dans un précédent billet. Sa valeur ajoutée réside dans sa capacité à interconnecter chacun de ces équipements de sécurité et à générer avec le concours de la CTI, des alertes contextualisées, un minimum de faux-positifs mais aussi actionner rapidement sur une seule plateforme, les activités de remédiation. En d’autres termes, une plateforme XDR doit rendre possible une sécurité composable.
Back-end/Front-end
Gartner, dans son guide du marché du XDR, propose de définir la couverture fonctionnelle des solutions XDR en identifiant deux faces. Véritable fondation, le back-end doit irréprochablement fournir toutes les fonctions transversales de la sécurité opérationnelle: renseignement, collecte et traitement d’événements, corrélations inter-canaux, orchestration automatisation, administration, etc… Sur cette fondation peuvent s’intégrer une multitude de solutions expertes ou dédiées à des segments spécifiques du SI, que Gartner appelle collectivement le Front-end: EDR, NDR, CWPP, FW, MTD, etc…
Detection engineering : l’art de la création de règles de détection.
XDR ouvert contre XDR monolithique
On trouve actuellement sur le marché de nombreuses offres portant l’appellation “XDR”. Hormis celles qui relèvent du discours marketing peu scrupuleux habillant des capacités expertes et prétendent fournir un XDR au prétexte qu’elles disposent d’une API, les offres XDR peuvent se ranger en deux grandes familles.
XDR monolithiques, intégrés ou natifs
D’une part, les solutions monolithiques proposent de remplir la promesse du XDR en intégrant directement la totalité des capacités front-end possibles, au prix de performances médiocres sur celles qui sont le plus éloignées de leur expertise historique. On retrouve souvent cette approche chez les vendeurs d’EDR ou de solutions réseau reconvertis au XDR. Trop souvent, ces solutions enferment leurs clients dans un écosystème fermé.
XDR ouverts, ou hybrides
D’autre part, les solutions dites open XDR prennent le parti de l’ouverture des interfaces. C’est une approche pragmatique, qui n’est pas toujours aussi intégrée que les XDR monolithiques mais permet en retour de composer une cybersécurité en fonction de l’existant, et de retenir les meilleures solutions sur chaque périmètre. Par exemple, SEKOIA.IO propose un large catalogue d’intégrations, sans cesse augmenté, couvrant plus de 80% du marché des solutions de cybersécurité, en intégrations de données entrantes comme en interfaces de pilotage des moyens de réponse.
L’agilité, la flexibilité et la robustesse du SaaS
Pour choisir ses outils de sécurité, les éditeurs devraient proposer mais jamais imposer. C’est pourquoi une bonne solution XDR devrait toujours être ouverte et flexible quant aux sources à interconnecter et aux équipements à piloter. Selon vos besoins, vous pourrez ainsi intégrer vos solutions existantes ou aller vers les alternatives de votre choix.
L’architecture nativement SaaS fournit tous les avantages de ce mode de déploiement: maintien en condition opérationnelle et de sécurité assuré par l’éditeur, déploiement facilité, intégrations fluides par APIs publiques…
Chez SEKOIA.IO nous avons poussé cela jusqu’au mode de facturation: là où d’autres avaient pris l’habitude de facturer au volume ou au débit de données, nous proposons une facturation au périmètre couvert, pour assurer déterminisme et prédictibilité des budgets.
Si vous souhaitez en savoir plus sur le principe de fonctionnement des différentes composantes de notre plateforme XDR, dites-le-nous ici.
Vous pouvez aussi découvrir d’autres définitions sur des sujets tels que :