Bien plus qu’une simple extension de l’EDR, le XDR se pose comme le socle de la cybersécurité de demain. Une solution généralement dans le Cloud et souvent proposée en mode managé.
Si le XDR peut-être compris comme une simple extension de l’EDR, beaucoup d’éditeurs d’EDR ayant effectivement franchi le pas et décliné leur solution endpoint en XDR, la portée de l’XDR va bien au-delà. Elle constitue de plus en plus une alternative plus moderne aux architectures basées sur les SIEM généralement mises en œuvre par les SOC.
Généralement commercialisé sous forme de service SaaS, le XDR collecte des données issues de diverses solutions de sécurité afin de délivrer des services de détection et de remédiation aux équipes Cyber. Les solutions de protection Endpoint et en particulier les EDR figurent bien évidemment au premier rang des sources de données traitées par un XDR, mais ce ne sont pas les seules. Un XDR peut traiter des données issues des solutions de protection eMail, des briques de gestion des identités, des puits de logs, ou encore des NDR (Network Detection & Response). L’objectif est d’accroître la surveillance de la surface d’attaque de l’entreprise et, tout comme pour un SIEM, corréler les données de ces multiples briques de sécurité complémentaires afin de détecter des schémas d’attaque complexes, notamment repérer les mouvements latéraux de l’attaquant.
Pour intégrer des sources de données différentes, plusieurs approches sont possibles. Les grands éditeurs de solutions de sécurité vont privilégier l’intégration des solutions déjà présentes à leur catalogue tandis que les éditeurs pure players vont privilégier une approche écosystème, à l’image de l’Open XDR Platform qui réunit plusieurs acteurs français de la cybersécurité. Cette approche ouverte tend aujourd’hui à se généraliser, y compris chez les grands éditeurs qui cherchent aujourd’hui à multiplier les interfaces avec les produits tiers. Le choix d’un XDR doit clairement prendre en compte cette capacité d’ouverture qui se traduit par le nombre d’interfaces disponibles et la richesse de la marketplace de l’éditeur.
Les XDR sont souvent proposés sous forme de service managé. Ce service est délivré par l’éditeur et son partenaire MSSP. Le premier alimente la plateforme de données de Threat Intelligence et gère un SOC qui va créer les runbooks et assure l’exécution des processus automatisés sur son SOAR. Son partenaire va assurer la réponse à incident auprès de son client. Le curseur de ce partage de responsabilité entre l’éditeur et son partenaire peut varier, certains éditeurs pouvant aller très loin dans la prise en charge des incidents.