Skip to content Skip to navigation Skip to footer

Extended Detection and Response (XDR)

Qu’est-ce-que XDR ?

XDR est l’abréviation de cross-layered detection and response, autrement dit la détection et la réponse aux menaces sur différentes couches de sécurité. XDR recueille et corrèle les données issues de différentes couches de sécurité : terminaux (endpoints), email, instances cloud et réseaux. En proposant des étapes de détection et de réponse aux menaces sur différents environnements, XDR se veut une alternative à la détection et à la prise en charge traditionnelle des incidents.

XDR : mode opératoire

Les menaces sophistiquées ne sont pas toujours simples à détecter par des fonctions de sécurité cloisonnées et qui ne collaborent que trop rarement entre elles. Ces menaces arrivent à percer la ligne de défense en place et prolifèrent au fil du temps. Elles évitent de se faire repérer par les analystes de sécurité, ce qui cause davantage de dommages.

XDR permet d’isoler et d’analyser ces menaces. Cette technologie recueille et analyse des indicateurs de détection provenant de différentes couches de sécurité. Chaque couche représente un vecteur d’attaque potentiel : endpoints, email, réseau, serveurs et instances cloud. Les modalités de protection de chaque vecteur d’attaque par une solution XDR sont généralement décrites dans un livre blanc proposé par le fournisseur de la solution.

Point de terminaison

Piloter l’activité des endpoints est essentiel pour identifier comment une menace a pu s’immiscer au sein d’un endpoint pour ensuite en infecter d’autres. Avec XDR, vous pouvez analyser tous les endpoints à la recherche d’indicateurs de compromission (IOC), pour ensuite identifier précisément les menaces à partir de données liées aux indicateurs d’attaque (IOA).

Un système XDR vous indique ce qui s’est passé au niveau d’un endpoint, l’origine d’un incident et la façon dont une menace s’est propagée vers différents endpoints. XDR  est capable d’isoler une menace identifiée, de mettre les processus malveillants à l’arrêt, ou encore de supprimer et/ou restaurer les fichiers.

Courrier électronique

L’email constitue le vecteur d’attaque le plus ciblé. Les solutions XDR peuvent limiter les risques associés à cette cible privilégiée. Meme si la sécurité email peut être gérée dans le cadre global d’un service managé MDR (managed detection and response), XDR va s’intéresser plus spécifiquement à l’email.

XDR peut également détecter les menaces véhiculées par email et les comptes ayant été piratés. La technologie va jusqu’à détecter les utilisateurs qui sont la cible fréquente d’attaques, ainsi que le mode opératoire de l’attaque. XDR mène également l’enquête pour identifier tous les destinataires d’un email malveillant.

En réponse à l’attaque, XDR assure la mise en quarantaine de l’email incriminé, la réinitialisation des comptes et la neutralisation des expéditeurs.

Réseau

L’analyse du réseau à la recherche d’attaques ou d’opportunités d’attaque est une étape clé dans la maîtrise des problématiques de sécurité. Grâce au traitement analytique des données du réseau, les évènements peuvent être identifiés, tout comme les vulnérabilités, qu’il s’agisse de dispositifs non gérés ou d’objets connectés. Que les menaces proviennent de recherches sur Google, de l’email ou d’attaques organisées, ce traitement analytique identifie la vulnérabilité sous-jacente.

XDR peut détecter un comportement problématique au sein du réseau, puis enquêter dans le détail sur une éventuelle menace, ses méthodes de communication et sa propagation au sein d’une entreprise. Ceci est possible quelle que soit la localisation de la menace sur le réseau, du edge réseau jusqu’au serveur central. XDR peut ainsi alerter les administrateurs sur le périmètre d’une attaque pour qu’ils y apportent une solution rapide.

Serveurs et instances cloud

La protection des infrastructures de serveurs et cloud s’effectue au travers d’étapes qui sont assez similaires à celles liées à la sécurité des endpoints. La menace doit être étudiée pour comprendre comment elle s’est immiscée au cœur du réseau pour ensuite se propager.

XDR vous donne la possibilité d’isoler les menaces conçues pour cibler les serveurs, les conteneurs et les instances cloud. XDR procède ensuite aux investigations pour comprendre comment la menace affecte l’instance ciblée et ses méthodes de propagation. Le serveur ou l’instance cloud est mis en quarantaine et les processus sont mis à l’arrêt afin de stopper la menace. Ce confinement de la menace est un levier essentiel pour accélérer le délai moyen de restauration suite aux attaques.

À titre d’exemple, si une menace accède à votre réseau cloud via un objet connecté, XDR en identifiera l’origine. Vous pouvez ainsi comprendre les raisons de l’incident et utiliser cette information pour définir un plan de remédiation. 

XDR est particulièrement efficace en tant que module complémentaire des produits de sécurité en place : la technologie contribue en effet à la bonne compréhension de l’impact d’une menace sur un serveur. Si la menace ralentit le serveur ou pirate ses données, XDR vous indique le périmètre exact de ces dommages. Ce sont ensuite tous les processus qui contribuent à la propagation des menaces qui sont mis à l’arrêt. Au sein d’un environnement cloud qui comporte de nombreux points de connexion, l’arrêt des processus prévient les fuites importantes de données et n’impose pas de mettre à l’arrêt certains segments essentiels de votre activité.

Serveurs et instances cloud

Un système XDR fournit ses données à un lac de données (référentiel centralisé de données brut) et procède au nettoyage de ces données. Dans un premier temps, tous les vecteurs d’attaque sont analysés. Puis les menaces sont identifiées, mais aussi supprimées après investigation.

 

XDR et détection traditionnelle des menaces : les différences

L’objectif de XDR est de résoudre les problématiques qui résultent d’une approche cloisonnée. C’est à ce titre que cette technologie se distingue d’une détection plus traditionnelle. XDR décloisonne un système en segmentant les vecteurs d’attaque et en les catégorisant. Il en résulte une solution plutôt complète pour l’email, les réseaux, les serveurs et les instances cloud. 

D’autre part, XDR ne se contente pas d’identifier les menaces. Ces dernières sont également prises en charge et traitées. Certains outils de détection se contentent d’identifier la menace sans prendre de mesures pour l’éliminer. Selon vos besoins, le traitement des menaces par XDR peut ne pas présenter d’intérêt, notamment lorsque vous souhaitez disposer d’une marge de manœuvre plus grande pour répondre aux menaces.

XDR présente également un réel intérêt dans la gestion des alertes. Un système de sécurité peut être submergé par des alertes. Gérer ces dernières prend parfois autant de temps que de répondre aux menaces. Un système XDR peut consolider les alertes, en supprimant celles qui ne présentent aucune information d’ordre décisionnelle. Ceci permet aux administrateurs de se focaliser sur les alertes les plus critiques, celles qui exigent une prise d’actions immédiate.

Avec XDR, les équipes de sécurité peuvent s’octroyer de réels gains de temps et en ressources, puisque XDR va au-delà de la détection des menaces en les traitant/supprimant. Par exemple, si l’équipe IT sait comment elle souhaite répondre à chaque menace, et qu’elle dispose d’une solution XDR, elle peut procéder à plusieurs opérations en même temps : identification et confinement des menaces, ainsi que la mise à l’arrêt des processus problématiques.

XDR et EDR (Endpoint Detection and Response) : les différences

La différence entre EDR et XDR est une question de lettre : le « E » ne fait référence qu’aux endpoints, tandis que le « X » indique que les réseaux et le cloud sont également pris en compte.

Si vous disposez déjà d’une solution de sécurité pour votre réseau et votre infrastructure cloud, vous pouvez vous contenter d’une solution EDR comme FortiEDR. Un système XDR n’est pas toujours simple à interfacer avec votre solution actuelle de sécurité réseau et toute redondance peut se révéler être un frein plutôt qu’un avantage.

XDR et NTA : les différences

Les technologies XDR et NTA (analyse du trafic réseau) peuvent, toutes les deux, détecter les menaces NTA se focalise sur la reconnaissance des comportements et peut ainsi répondre en temps réel aux paquets de données dont le comportement interpelle. Par exemple, si un serveur reçoit généralement un trafic en provenance des États-Unis, du Canada et du Brésil, la réception soudaine de données en provenance de Russie peut être identifiée par un système NTA. Toute menace potentielle peut alors être éliminée. 

Dans ce cas, NTA peut être considéré comme une meilleure solution que XDR : les menaces ciblant votre entreprise peuvent être cloisonnées à l’aide de cette détection basée sur le comportement.

XDR et SIEM : la différence

La principale différence entre ces deux technologies est que XDR permet de réagir aux menaces identifiées. Un système SIEM peut, certes, collaborer avec une solution de réponse aux menaces, mais il se focalise avant tout sur la détection des menaces. Si vous souhaitez personnaliser et assurer la prise en charge des menaces, une solution comme FortiSIEM peut se révéler plus pertinente que XDR.

Dans certains cas, XDR peut détecter une menace et y répondre automatiquement, même en l’absence de danger réel. Une réponse prématurée peut impacter négativement votre entreprise. Avec un SIEM, vous pouvez décider de la réponse à apporter à chaque menace, et vous évitez ainsi de mettre à l’arrêt vos opérations si cela n’est pas absolument nécessaire.

XDR et SOAR : la différence

Si XDR permet de détecter et de répondre aux menaces au sein de son écosystème, le SOAR (Security Orchestration, Automation, and Response) peut également assurer cette tâche et, au-delà, être utilisé pour orchestrer les règles et le reporting de sécurité.

Si vous êtes déjà capable de répondre immédiatement aux menaces, mais que vous avez besoin d’un système qui contribue à la mise en œuvre générale des règles de sécurité, une solution comme FortiSOAR peut être préférable à XDR. Le déploiement d’une solution XDR en tant que couche supplémentaire pour une réponse efficace aux menaces peut se révéler particulièrement chronophage, sans pour autant vous apporter les résultats escomptés.

Une visibilité intégrale sur les attaques

FortiClient vous permet d’identifier les risques, de les surveiller et de déterminer le niveau d’exposition de votre entreprise à ces risques. Ceci peut être réalisé pour de nombreux types d’endpoints, avec la possibilité de personnaliser votre approche de sécurité aux besoins de votre entreprise.

De plus, FortClient protège contre les menaces avancées et fournit des informations sur celles ayant été supprimées. Cette solution étant parfaitement intégrée au sein de la Security Fabric de Fortinet, vous pouvez opter pour une automatisation basée sur des règles pour maîtriser les menaces et empêcher leur propagation. Si vous disposez déjà d’une solution de sécurité Fabric-Ready en place, FortiClient peut collaborer avec celle-ci pour ainsi renforcer votre arsenal de sécurité. Que vos activités aient ralenti due à la pandémie de Covid, ou qu’elles tendent à reprendre, c’est un bon moment pour opter pour une détection et une réponse intégrée aux menaces avec FortiClient.