La détection et la réponse étendues (XDR) ont récemment fait beaucoup parler d’elles dans la presse et chez les analystes, mais aussi chez les clients. Certes, à première vue, sa promesse, réduire la complexité et les coûts tout en augmentant la détection et la réponse, a tout pour séduire. Les équipes de sécurité cherchent à moderniser leurs outils de sécurité et recherchent également des solutions à certains de leurs plus grands défis. La solution XDR peut-elle être une réponse ? Qu’est-ce que l’XDR exactement, et comment savoir si cela convient à votre organisation ? Voyons cela en détail.
La détection et la réponse aux points de terminaison (EDR) sont les références absolues depuis près d’une décennie. Au départ, c’est une évolution de la technologie antivirus visant à contrer les menaces qui contournaient les capacités de détection des logiciels malveillants traditionnels, basée sur des fichiers et sur l’heuristique. La nouvelle réalité, dans laquelle « une faille finira par être exploitée », a stimulé la demande en EDR. Grâce à son utilisation novatrice du machine learning et de l’analyse du comportement, l’EDR a permis aux analystes de sécurité de bénéficier d’une meilleure visibilité et de meilleures détections au niveau des points de terminaison, de mener des investigations scientifiques en temps réel et de répondre aux menaces plus rapidement et plus efficacement. Mais face à la sophistication croissante des menaces, la focalisation étroite de l’EDR sur le point de terminaison est devenue un facteur limitant pour son efficacité. Les données contextuelles issues de la détection du réseau, de l’intelligence des menaces et d’autres outils de sécurité sont nécessaires pour améliorer la détection et augmenter la vitesse de réponse. C’est là qu’interviennent la détection et la réponse étendues (XDR).
L’XDR est clairement une évolution de l’EDR. Ce qui manque, par contre, c’est un ensemble d’exigences communément acceptées pour définir ce que doit être une solution XDR. Ouverte. Fermée. Native. Hybride. Les approches sont nombreuses, mais il y a un thème commun : l’XDR synthétise les points de terminaison, le cloud, le réseau, les e-mails, les informations sur les menaces et d’autres sources de données et points de contrôles en un même endroit pour améliorer la détection, l’investigation et la prise en charge des menaces. Pour ceux d’entre vous qui connaissent Splunk, cela ressemble beaucoup à ce que nous faisons depuis longtemps. Nous sommes leader sur le marché des opérations de sécurité depuis des années avec nos solutions de gestion des événements et des informations de sécurité (SIEM) et d’orchestration, automatisation et réponse de sécurité (SOAR). Mais quelle est la différence entre les solutions XDR et SIEM/SOAR, me demanderez-vous ?
L’XDR est idéal pour améliorer la détection et la réponse dans un ensemble limité de scénarios utilisant un nombre limité de sources de données. Mais que se passe-t-il si les menaces évoluent au-delà du champ de cet ensemble de scénarios et de sources de données ? Splunk offre les mêmes avantages que l’XDR sans limiter le nombre de scénarios d’utilisation ni les sources de données, ni imposer le déploiement de produits, de portails et de modèles de données supplémentaires dans votre pile technologique déjà encombrée. En plus de la détection, de l’investigation et de la prise en charge des menaces (TDIR), vous pouvez indexer et rechercher dans toutes vos données. Nous rassemblons les sources de données de sécurité, celles des opérations IT et du DevOps, et toutes celles que vous pourrez imaginer afin d’obtenir la meilleure visibilité possible. Ce niveau de visibilité est essentiel pour découvrir la cause profonde des attaques les plus complexes d’aujourd’hui. En bref, Splunk offre aux entreprises la flexibilité dont elles ont besoin pour relever les défis d’aujourd’hui, tout en conservant l’agilité nécessaire pour s’adapter aux menaces et aux défis de demain.
Nous pensons également qu’il n’est pas pertinent de comparer l’XDR au SIEM et au SOAR. Selon nous, l’XDR est une source de données et un point de contrôle qui s’intègre à ces outils, tout comme l’EDR. Nous avons d’ailleurs des clients qui ont déjà intégré leur solution XDR à Splunk. L’XDR aide à éliminer certains problèmes auxquels les analystes de bruit sont souvent confrontés et Splunk donne aux équipes la possibilité de traiter les scénarios d’utilisation au-delà du point de terminaison. C’est gagnant-gagnant.
En réalité, personne ne souhaite multiplier les catégories de produits ni avoir de nouveaux outils à prendre en main et à intégrer. Nous cherchons plutôt à être libérés de la prolifération des outils et de la dette d’intégration : vos équipes sont épuisées par la multiplication des portails et des tâches routinières de gestion des données qui font baisser la productivité des personnes les plus compétentes.
C’est pourquoi nous avons récemment lancé Splunk Security Cloud, la plateforme d’opérations de sécurité pour l’entreprise agile. Elle centralise toutes les données, dans le but de fournir des analyses avancées, de rationaliser les opérations grâce à l’automatisation et à l’orchestration, et bénéficie de la collaboration étroite d’un écosystème florissant et diversifié de partenaires, offrant ainsi la formule idéale pour les opérations de sécurité modernes.
Nous avons une étoile polaire chez Splunk : améliorer la productivité des analystes. Pour y parvenir, nous rationalisons les workflows de l’ensemble du SOC, de la détection des menaces au partage d’informations, en passant par l’investigation et la chasse, entre autres. Nous sommes compatibles avec vos outils préférés de point de terminaison, cloud, réseau, e-mail et autre. XDR inclus.
*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.
