XDR

Accueil » Resources » XDR

XDR (eXtended Detection and Response) désigne une approche holistique de la cybersécurité opérationnelle. Elle se démarque par sa capacité à regrouper et à automatiser sur une plateforme SaaS unifiée l’ensemble des données, analyses et réponses aux menaces cyber, quelle que soit leur origine, leur fournisseur, leur spécialisation. La première promesse du XDR est ainsi de fournir une sécurité opérationnelle rendue beaucoup plus efficace en cassant les silos entre les données ou les équipements, c’est-à-dire de :

  • Décupler les capacités de détection 
  • Relier de façon intelligente les différentes capacités pour circonscrire et appréhender la menace
  • Automatiser de façon adéquate les actions de réponse à l’incident, par exemple, au moyen de playbooks.

Quelles différences entre XDR, EDR et les autres outils de cybersécurité ?

XDR vs EDR

Comme tout domaine émergent, les idées reçues sur le XDR sont encore nombreuses. Au premier chef, celles qui présentent le XDR comme une version améliorée de l’EDR sont souvent le fait des éditeurs spécialisés en EDR.

Au contraire, l’usage du XDR permet tout simplement d’ouvrir complètement les domaines d’observation et d’intervention à l’ensemble du périmètre informatique et non pas uniquement sur les terminaux, sur les réseaux (Network Detection & Response, Firewalls), ou toute autre solution de type front-end ou experte.

Pour autant, il ne renvoie pas non plus à une accumulation des outils de sécurité (EDR, EPP, AV, FW, NDR), comme nous l’avons déjà expliqué dans un précédent billet. Sa valeur ajoutée réside dans sa capacité à interconnecter chacun de ces équipements de sécurité et à générer avec le concours de la CTI, des alertes contextualisées, un minimum de faux-positifs mais aussi actionner rapidement sur une seule plateforme, les activités de remédiation. En d’autres termes, une plateforme XDR doit rendre possible une sécurité composable.

Back-end/Front-end

Gartner, dans son guide du marché du XDR, propose de définir la couverture fonctionnelle des solutions XDR en identifiant deux faces. Véritable fondation, le back-end doit irréprochablement fournir toutes les fonctions transversales de la sécurité opérationnelle: renseignement, collecte et traitement d’événements, corrélations inter-canaux, orchestration automatisation, administration, etc… Sur cette fondation peuvent s’intégrer une multitude de solutions expertes ou dédiées à des segments spécifiques du SI, que Gartner appelle collectivement le Front-end: EDR, NDR, CWPP, FW, MTD, etc…

XDR front end and XDR back end

XDR ouvert contre XDR monolithique

On trouve actuellement sur le marché de nombreuses offres portant l’appellation “XDR”. Hormis celles qui relèvent du discours marketing peu scrupuleux habillant des capacités expertes et prétendent fournir un XDR au prétexte qu’elles disposent d’une API, les offres XDR peuvent se ranger en deux grandes familles.

XDR monolithiques, intégrés ou natifs

D’une part, les solutions monolithiques proposent de remplir la promesse du XDR en intégrant directement la totalité des capacités front-end possibles, au prix de performances médiocres sur celles qui sont le plus éloignées de leur expertise historique. On retrouve souvent cette approche chez les vendeurs d’EDR ou de solutions réseau reconvertis au XDR. Trop souvent, ces solutions enferment leurs clients dans un écosystème fermé.

XDR ouverts, ou hybrides

D’autre part, les solutions dites open XDR prennent le parti de l’ouverture des interfaces. C’est une approche pragmatique, qui n’est pas toujours aussi intégrée que les XDR monolithiques mais permet en retour de composer une cybersécurité en fonction de l’existant, et de retenir les meilleures solutions sur chaque périmètre. Par exemple, SEKOIA.IO propose un large catalogue d’intégrations, sans cesse augmenté, couvrant plus de 80% du marché des solutions de cybersécurité, en intégrations de données entrantes comme en interfaces de pilotage des moyens de réponse.

Pourquoi choisir une solution XDR ?

Trois éléments majeurs justifient le choix du XDR. Il s’agit prioritairement de leur contribution concrète à l’augmentation du niveau de sécurité, de leur efficacité opérationnelle permettant de soulager les tensions sur les ressources, et de leur caractère digital-natif qui les rend agiles et à toutes fins utiles future-proof. Ces trois éléments combinés peuvent conduire à des gains de productivité significatifs.

Augmentation du niveau de sécurité

Déployer un XDR permet de fédérer des moyens existants, de les complémenter par les meilleures solutions du marché, et in fine d’assurer un niveau de sécurité plus important pour l’organisation et son système d’information. En croisant des sources de données auparavant isolées les unes des autres, un XDR peut détecter mieux et plus en amont les menaces avancées comme les APT, et y apporter différents niveaux de réponse depuis les réactions réflexes jusqu’aux investigations et au threat hunting. 

Chez SEKOIA.IO, nous y ajoutons en plus notre expertise et nos données sur les menaces, la CTI, qui débloque des performances supplémentaires aussi bien en détection qu’en réduction des faux positifs. Ainsi, ce renseignement intégré nativement permet aux équipes SOC et CERT de se concentrer sur les réelles zones de danger.

Automatiser pour mieux focaliser les ressources

La détection est inutile sans capacité de réponse adaptée. Or c’est bien souvent là que les solutions classiques trouvent leurs limites. Par le passé, il fallait pouvoir s’offrir des solutions d’orchestration ou d’automatisation de type SOAR parfois lourdes et coûteuses, ou bien livrées “nues” sans bibliothèques.

Les capacités de réponse, automatisées ou non, font partie des fonctionnalités de bases de tout XDR. Avec la présence de playbooks, il est aujourd’hui possible d’automatiser un certain nombre d’actions de remédiation en cas de menace sans écrire une seule ligne de code.  Au sein de notre plateforme SEKOIA.IO XDR, il existe, par exemple, un éditeur de playbooks livré avec son catalogue de playbooks pré-câblés. Cela permet aux opérateur d’être efficaces dès le lancement, tout en capitalisant et s’adaptant aux processus spécifiques de l’organisation cliente.

Ce système d’automatisation permet ainsi de mieux faire face à la question épineuse des ressources humaines en cyber. Les équipes cyber peuvent par exemple, se consacrer à la résolution de vrais incidents et non de faux-positifs.

L’agilité, la flexibilité et la robustesse du SaaS

Pour choisir ses outils de sécurité, les éditeurs devraient proposer mais jamais imposer. C’est pourquoi une bonne solution XDR devrait toujours être ouverte et flexible quant aux sources à interconnecter et aux équipements à piloter. Selon vos besoins, vous pourrez ainsi intégrer vos solutions existantes ou aller vers les alternatives de votre choix.

L’architecture nativement SaaS fournit tous les avantages de ce mode de déploiement: maintien en condition opérationnelle et de sécurité assuré par l’éditeur, déploiement facilité, intégrations fluides par APIs publiques…

Chez SEKOIA.IO nous avons poussé cela jusqu’au mode de facturation: là où d’autres avaient pris l’habitude de facturer au volume ou au débit de données, nous proposons une facturation au périmètre couvert, pour assurer déterminisme et prédictibilité des budgets.

Si vous souhaitez en savoir plus sur le principe de fonctionnement des différentes composantes de notre plateforme XDR, dites-le nous ici.

Vous pouvez aussi découvrir d’autres définitions sur des sujets tels que :