Zpedia 

/ Qu’est-ce que la XDR ?

Qu’est-ce que la XDR ?

La détection et la réponse étendues (XDR) est une catégorie de solutions de cybersécurité qui associe des outils de détection et de réponse aux menaces auparavant disjoints à une orchestration de la sécurité. En recueillant des données télémétriques sur l’ensemble de l’écosystème d’une entreprise (terminaux, cloud, réseaux, flux de renseignements sur les menaces, etc.), la XDR permet une détection, une corrélation, une traque des menaces et une réponse aux incidents plus rapides et plus précises que la détection et la réponse aux menaces sur les terminaux (EDR) à elle seule.

Comment fonctionne la XDR ?

La XDR collecte des données télémétriques à partir de ce qui serait autrement plusieurs silos de données, à l’aide d’un agent local qui sert de solution de gestion des informations et des événements de sécurité (SIEM), entre autres fonctions. La XDR identifie les malwares et les menaces avancées, puis prend diverses mesures pour les hiérarchiser, les contenir et les éliminer en s’appuyant sur la puissance de l’apprentissage automatique (AA) et de l’automatisation.

Pour ce faire, la XDR remplit en permanence trois fonctions essentielles :

1. Analyse

La solution collecte des données sur les serveurs, les terminaux, les clouds et d’autres éléments de l’écosystème, corrèle ces données, et envoie uniquement les alertes pertinentes et importantes à l’équipe de sécurité de l’entreprise, ce qui contribue à réduire la lassitude liée aux alertes.

2. Détection

Tirant parti de sa visibilité étendue et approfondie, la XDR utilise l’AA pour établir une base de référence du comportement normal des utilisateurs et des entités. La solution XDR, associée à d’autres mécanismes de détection, permet d’enquêter sur les anomalies qui pourraient indiquer des menaces pour la sécurité.

3. Réponse

La XDR isole et élimine une menace, puis met à jour les politiques de sécurité pour l’empêcher de se reproduire. Elle va plus loin que l’EDR en regroupant les ressources du centre des opérations de sécurité (SOC) dans une console centralisée couvrant les environnements réseau, terminaux et cloud.

Avantages de la sécurité XDR

La XDR unifie les capacités de détection et de réponse dans l’ensemble d’un environnement de données, lui permettant d’aller plus loin que les produits de sécurité traditionnels et les solutions ponctuelles pour fournir une couverture plus étendue et une vue plus complète des incidents de sécurité. Une plateforme XDR efficace fournit les fonctionnalités suivantes :

 

  • Visibilité et informations étendues et approfondies : grâce à une perspective qui va au-delà des terminaux, une solution XDR peut comprendre les menaces sophistiquées, notamment les points d’entrée, les actifs et environnements affectés, ainsi que les méthodes utilisées, sur tous les ports, protocoles ou couches de l’écosystème, ce qui facilite la correction et l’analyse des causes profondes.
  • Corrélation et triage automatisés : l’automatisation basée sur l’AA corrèle les données et hiérarchise les alertes, optimisant ainsi les flux de travail de correction de votre équipe de sécurité en l’aidant à éviter les faux positifs et à mettre en évidence les menaces réelles dans des volumes de données qu’elle ne pourrait jamais analyser avec des solutions de sécurité manuelles.
  • Opérations plus rapides et plus efficaces : grâce à une vue globale et centralisée des menaces, à un nombre réduit d’outils de sécurité à gérer et à surveiller, et à l’analyse automatisée, la XDR réduit la complexité opérationnelle et permet à vos experts de se consacrer à la recherche proactive des menaces et à d’autres tâches importantes.

Cas d’utilisation de la XDR

La XDR prend en charge trois cas d’utilisation principaux :

Tri

Compte tenu du volume considérable de menaces qui ciblent les réseaux d’entreprise actuels, même les professionnels de la sécurité les plus expérimentés ne peuvent pas suivre le rythme des alertes, et encore moins trier rapidement et avec précision les faux positifs, hiérarchiser les menaces les plus critiques et réagir. La XDR s’appuie sur l’AA et sur des analyses avancées pour affiner les données relatives aux menaces provenant de l’ensemble de l’écosystème et les transformer en un nombre gérable d’alertes pertinentes.

Traque des menaces

Les menaces sophistiquées actuelles ont une capacité de dissimulation extrêmement élevée, ce qui rend la traque des menaces plus importante et plus difficile que jamais. Grâce à sa visibilité sur l’ensemble de votre écosystème et à ses capacités de détection et de corrélation basées sur l’AA, la XDR est capable d’identifier des menaces que les solutions SIEM traditionnelles ne vont pas détecter.

Enquête

Les solutions XDR fournissent un contexte riche qui facilite l’analyse des causes profondes, notamment des données en temps réel et historiques, aidant ainsi votre équipe de sécurité à comprendre la nature d’une attaque et les mesures à prendre pour empêcher que des attaques similaires se reproduisent.

XDR et autres technologies de détection et de réponse

Grâce aux technologies de détection et de réponse automatisée, les entreprises peuvent surveiller en permanence leurs systèmes afin de détecter, d’analyser et de contenir les menaces présentes dans le trafic réseau et applicatif dès qu’elles surviennent. Grâce à l’apprentissage automatique et aux technologies d’automatisation, la XDR peut hiérarchiser, contenir et supprimer ces menaces en temps réel.

Parmi les autres technologies de détection et de réponse, citons les solutions suivantes :

La détection et réponse aux menaces sur les terminaux permet d’identifier, de hiérarchiser et de neutraliser les malwares et les menaces avancées sur les terminaux et dans les workloads, mais manque de visibilité sur le reste de l’écosystème.

La détection et réponse aux menaces sur le réseau (NDR) concentre ses capacités de réponse sur les attaques qui se dissimulent dans le trafic réseau et tentent de contourner le pare-feu réseau.

La détection et réponse gérées (MDR) s’appuie sur des services fournis par une équipe d’analystes de sécurité tiers, plutôt que par votre propre personnel.

La NDR et l’EDR ont autrefois révolutionné la sécurité des réseaux et des terminaux, mais les écosystèmes de données complexes et multicouches actuels exigent une visibilité et des analyses plus coordonnées, ainsi qu’une précision et une rapidité supérieures, afin de s’adapter au volume et à la sophistication des cyberattaques modernes.

Exigences essentielles de la XDR

Comme pour toute technologie relativement nouvelle, il existe de nombreux points de vue différents sur ce qui définit la détection et la réponse étendues. Qu’est-ce qui caractérise exactement la XDR ? À la base, la XDR offre les capacités suivantes :

  • Basée sur le SaaS : fondamentalement, la XDR est fournie sous forme de service cloud. Cette capacité offre un excellent retour sur investissement en termes de coûts d’hébergement et de maintenance, mais il s’agit également d’un facteur essentiel pour garantir l’efficacité de la protection fournie par la XDR, car les mises à jour peuvent être fournies instantanément à tous les clients.
  • Basée sur un agent : bien que la XDR soit basée dans le cloud, elle requiert néanmoins l’installation d’un agent sur vos terminaux physiques et virtuels afin de collecter des données, remplissant les fonctions d’un SIEM. De nombreux agents assurent également des fonctions antivirus et autres fonctions de protection des terminaux qui complètent les fonctionnalités SaaS.
  • Unifiée : c’est l’essence même de la XDR. En collectant des données télémétriques à partir de n’importe quelle source et en les utilisant pour alimenter l’analyse comportementale et les techniques de détection avancées, la XDR offre une protection contre les ransomwares et autres malwares avancés bien supérieure à celle de produits ponctuels disjoints.

Comment la XDR gère-t-elle le Zero Trust ?

Si votre entreprise souhaite déployer une architecture Zero Trust ou perfectionner son architecture Zero Trust existante, il serait judicieux d’ajouter la XDR à votre pile de sécurité fournie dans le cloud afin de tirer pleinement parti des avantages suivants :

  • Sécurité cloud rationalisée : le déploiement d’une architecture Zero Trust dans un environnement multicloud peut présenter certains défis. La XDR rationalise une grande partie du processus en regroupant les workloads cloud dans tous les environnements et en assurant une surveillance complète.
  • Meilleure visibilité : la XDR effectue une analyse en temps réel et une analyse de sécurité centralisée dans tout votre environnement, ce qui permet à votre entreprise de déployer et d’appliquer plus facilement des contrôles de sécurité Zero Trust.
  • Automatisation : la XDR automatise les tâches clés d’identification, de tri, de traque et de réponse, réduisant ainsi la charge de travail de votre équipe de sécurité. L’analyse du comportement des utilisateurs et du réseau basée sur l’IA et l’AA permet d’assurer une sécurité plus réactive et efficace.
  • Priorisation : le Zero Trust repose sur le principe que tout peut être une menace jusqu’à preuve du contraire. La XDR s’inscrit parfaitement dans cette approche : grâce à la corrélation automatisée et à l’analyse basée sur l’AA, elle évite que les équipes de sécurité soient submergées d’alertes, ce qui permet d’optimiser les flux de travail et de réduire les temps de réponse.

Comment Zscaler peut vous aider

Zscaler s’intègre à des partenaires leaders du secteur pour combiner la plateforme cloud native Zscaler Zero Trust Exchange™ avec la puissance de la XDR. Grâce à une IA/AA avancée, nos alliances XDR fournissent des renseignements hautement fiables sur les menaces et le contexte afin de permettre une détection et une réponse plus rapides et plus efficaces sur toutes les plateformes, ce qui procure une visibilité de bout en bout.

En savoir plus sur Zscaler et CrowdStrike Falcon XDR

En savoir plus sur Zscaler et SentinelOne Singularity XDR

Zscaler Zero Trust Exchange.

Zscaler Zero Trust Exchange™ est une plateforme cloud native bâtie sur une politique Zero Trust. Basée sur le principe du moindre privilège, elle établit la confiance en fonction du contexte, comme l’emplacement d’un utilisateur, la posture de sécurité de son appareil, le contenu échangé et l’application demandée. Une fois la confiance établie, vos employés bénéficient de connexions rapides et fiables, où qu’ils soient, sans jamais être placés directement sur votre réseau. Zero Trust Exchange fonctionne dans 150 data centers à travers le monde, garantissant à vos utilisateurs un service de proximité, au même endroit que les fournisseurs de cloud et les applications auxquelles ils accèdent.

Ressources suggérées

Zscaler et partenaires de sécurité des terminaux
En savoir plus
Les intégrations Zscaler et CrowdStrike CrowdXDR étendent le Zero Trust
Lire le communiqué de presse

Foire aux questions

La détection et la réponse aux menaces sur les terminaux assurent une surveillance et une détection continues des données sur les terminaux et s’appuient sur une réponse automatisée pour hiérarchiser et contenir les menaces.

Alors que l’EDR se concentre uniquement sur la détection et la protection des terminaux, la XDR assure la surveillance, la détection et la résolution sur tous les points de contrôle de sécurité, y compris les e-mails, les clouds, les réseaux et les serveurs.

Les solutions XDR et les solutions de gestion de l’information et des événements de sécurité (SIEM) extraient les données sur les menaces de plusieurs sources. Cependant, la XDR utilise des mesures de sécurité avancées, tandis que les SIEM se limitent à envoyer des alertes de sécurité aux SOC. La XDR peut ajuster de manière proactive les défenses du réseau et des terminaux pour neutraliser les menaces tout en avertissant les SOC.

La XDR est un moyen hautement sophistiqué de surveiller et de détecter les menaces en temps réel, en utilisant l’automatisation pour filtrer les problèmes les plus critiques et alléger la charge de travail des équipes de sécurité.