Le XDR (eXtended Detection and Response) est présenté et mis en avant comme l’ultime solution de sécurité, répondant à l’ensemble des problèmes auxquels les outils que l’on appelle « traditionnels » comme le SIEM, l’EDR ou le SOAR ne peuvent pas répondre. Ce qui mène souvent au constat que ces outils traditionnels sont devenus obsolètes et à jeter pour être remplacés par le XDR, qui parait essentiel pour répondre à la menace cyber actuelle et future. Il s’agirait donc d’une réelle technologie de rupture qui viendrait remplacer tous les équipements de détection et de réponse en place.
Toutefois, les arguments mis en avant pour justifier cette rupture technologique sont souvent discutables, parmi les plus courant nous retrouvons par exemple :
- Le XDR est capable de collecter et de corréler des données provenant de différentes sources comme les terminaux, le réseau ou le cloud – C’est justement une des fonctionnalités principales du SIEM.
- Le XDR est capable de remonter des alertes à haute-fidélité (peu de faux positifs) grâce à l’intelligence artificielle – Ces méthodes de détection sont également disponibles sur les SIEM de dernière génération comme le proposent Securonix, Exabeam ou Microsoft Sentinel.
- Le XDR propose un enrichissement des alertes et une capacité de réponse automatisée - C’est exactement ce que fait un SOAR.
- Le XDR est conçu pour répondre aux contraintes d’évolutivité, de disponibilité et de déploiement par son architecture cloud native – La majorité des SIEM sont également disponibles sous forme cloud-native, de la même façon qu’il existe des XDR déployable on-premise.
Mais alors, cela voudrait-il dire que le XDR ne serait qu’un terme marketing pour parler d’outils de sécurité exploitant des fonctionnalités de détection et de réponse qui existaient déjà ? 😱
Plus ou moins, le XDR implémente en effet des fonctionnalités de détection et de réponse qui existaient déjà autre part, comme sur le SIEM, l’EDR ou le SOAR. Mais le « XDR » n’est pas pour autant une coquille vide, en fait il s’agit d’un concept et pas d’un outil unique. Un concept où l’ensemble des mécanismes de prévention, de détection et de réponse à incident présents sur un système d’information sont interconnectés et fonctionnent en symbiose, ce qui permet de donner aux équipes de défense le maximum de visibilité et de contexte aux évènements de sécurité.
Concrètement, qu’est-ce que cela veut dire ?
Dans l’écosystème des produits de cybersécurité, il existe une très grande diversité de types de solutions dédiées à la détection et à la prévention d’intrusion. Chacun répondant à une problématique précise, ils sont donc complémentaires et les organisations les plus matures en cybersécurité utilisent déjà un grand nombre d’entre eux.
Dans un écosystème SOC n’exploitant pas le concept « XDR », les équipes opérationnelles vont exploiter chaque produit individuellement. Chacun de ces produits donnera une vision limitée à son périmètre et l’administration ainsi que la corrélation entre les évènements devra se faire manuellement par les analystes en accédant à toutes les plateformes. Le moindre ajout «d’intelligence » nécessitera un gros effort de développement afin de créer des workflows à travers différentes solutions.
Dans un écosystème suivant un modèle XDR, tous les produits de sécurité sont interconnectés entre eux et sont exploitables et administrables depuis une seule plateforme :
A noter que l’ensemble des produits sont indépendants ne doivent pas nécessairement provenir du même fournisseur. Lorsque l’on met en place une stratégie XDR avec des produits provenant de plusieurs éditeurs différents on parle d’Open XDR, dans le cas contraire lorsque tous les produits sont fournis par le même éditeur nous parlerons de XDR Natif.
L’opération du SOC dans un format XDR présente plusieurs avantages notables, comme :
- L’amélioration des capacités de détection
- La corrélation des évènements entre les outils est simplifiée ce qui permet d’effectuer de la détection en reliant des évènements du réseau via le NDR à d’autres provenant des terminaux via l’EDR par exemple.
- La corrélation des évènements entre les outils est simplifiée ce qui permet d’effectuer de la détection en reliant des évènements du réseau via le NDR à d’autres provenant des terminaux via l’EDR par exemple.
- La réduction du temps de réponse à une menace
- Il est possible d’appliquer des mécanismes de réponse automatique via des « playbooks » qui exploiteront les capacités de détection et de réponse de l’ensemble des produits. Par exemple :
- Une communication avec un C&C a été détectée sur le réseau par le NDR grâce à un IOC provenant de la CTI.
- Le NDR envoie cette information à la console XDR qui lève une alerte et déclenche un playbook de réponse contenant les actions suivantes :
- L’EDR met en quarantaine le/les terminaux communicant avec ce C&C.
- Le Firewall bloque les IP/Domaines liés à ce C&C.
- Il est possible d’appliquer des mécanismes de réponse automatique via des « playbooks » qui exploiteront les capacités de détection et de réponse de l’ensemble des produits. Par exemple :
En quelques minutes, voire secondes, les premières actions de remédiation ont déjà été effectuées. Contre plusieurs heures (minimum) lorsque ceci est effectué manuellement.
- La diminution de la complexité des opérations du SOC
- Une console unique pour opérer le SOC diminue considérablement la complexité de l’opération du SOC car l’administration, la configuration et l’opération des différents outils de détection et de réponse sont centralisés par la même plateforme.
Pour conclure et répondre à la question initiale, le XDR est avant tout un concept plus qu’un produit dont l’objectif principal est d’apporter de l’interconnectivité entre les différents outils de prévention et de détection d’intrusion ce qui permet d’accroître leurs performances de sécurité. Le terme XDR est apparu en 2018 mais plusieurs organisations déjà matures en cybersécurité n’avaient pas attendu que le « XDR » voit le jour pour interconnecter leurs solutions de sécurité, ces organisations étaient donc déjà dans un modèle XDR avant même que le terme n’existe.
Le concept XDR n’a donc rien de révolutionnaire techniquement mais est une évolution logique des techniques de détection. Ce que va apporter le terme XDR sera la popularisation de l’interconnectivité des produits de sécurité via des API toujours plus développées, ce qui offre une visibilité et une réponse plus rapide pour lutter contre les menaces cyber. Tous les éditeurs de solutions de sécurité seront obligés de prendre ce virage technologique pour se conformer au modèle XDR, qui s’impose comme la nouvelle norme. Ce qui est globalement une très bonne chose pour le monde de la détection et de prévention aux incidents de sécurité.