Alors que les entreprises déploient des solutions EDR afin de remplacer leurs antivirus, la nouvelle évolution de la protection du poste de travail est déjà là. Avec l’XDR, la protection endpoint s’affranchit de ses limites.
Pour des raisons marketing mais aussi devant une menace qui remet ses technologies en question très régulièrement, la protection endpoint se réinvente sans cesse. Après l’essor du Machine Learning et du comportemental et l’apparition des antivirus “Next-Gen”, puis le succès ces derniers mois des EDR (pour Endpoint Detection and Response), les éditeurs sont en train d’infléchir leur vision. Ceux-ci ouvrent de plus en plus leurs EDR à d’autres sources de données, le Data Lake de l’EDR accueillant désormais des données réseaux, des logs de fonctionnement de services Cloud, etc.
Parmi les premiers éditeurs à avoir entrepris cette démarche, Sophos. Bruno Leclerc, directeur des ventes de Sophos France explique la démarche adoptée par l’éditeur : « L’EDR présente une forte valeur ajoutée quand il dialogue avec d’autres éléments. Il faut disposer d’une visibilité qui va au-delà du poste de travail lui-même. » Depuis 2015, Sophos propose le protocole SynSEC (Synchronized Security) qui, selon son éditeur, permet d’élever le niveau global de sécurité en interrogeant l’ensemble des composants d’infrastructure du système d’information dont le Wi-Fi, la messagerie, le sandboxing, les mobiles, les firewalls, etc. « C’est l’un des éléments différenciant de l’offre Sophos et nous avons été les premiers en 2015 à implémenter ce type de protocoles. Nous avons été rattrapés par un ensemble de compétiteurs depuis qui communiquent sous le terme de XDR, un terme aujourd’hui repris par Gartner. »
Même volonté d’ouverture chez l’éditeur américain CrowdStrike qui, année après année ajoute de nouveaux modules à son EDR : « Notre activité initiale portait sur de l’Incident Response / Threat Intelligence et c’est véritablement à partir de 2003 que notre stratégie EDR s’est mise en place » explique Joël Mollo, directeur général Europe du Sud de CrowdStrike. « Nous avions ce que nous appelons le Prevent/Insight, c’est-à-dire l’antivirus Next-Gen auquel nous avons progressivement ajouté de nouveaux modules comme la gestion des postes, le module Spotlight pour réaliser des investigations plus poussées sur les menaces. Nous en sommes à une dizaine de modules actuellement et nous avons ouvert un App Store pour nos partenaires. Ceux-ci bénéficient de nos métadonnées pour leurs propres outils, ce qui instaure une interaction forte entre nos solutions. »
Tous les éditeurs majeurs d’EDR intègrent désormais de nouvelles sources de données à leurs EDR à l’image de Trend Micro qui a fait de cette démarche la clef de voûte de sa stratégie produit comme l’expliquait il y a quelques mois Eva Chen, CEO de l’éditeur japonais lors du webinar Perspectives 2020 : « Il y a aujourd’hui un nombre bien trop élevé d’outils de sécurité qui entraine une surcharge du nombre d’alertes à traiter. Cette surcharge rend les tâches de Threat Hunting difficiles à mener dans un contexte où les entreprises manquent de ressources humaines qualifiées. Dans ce contexte, nous avons introduit une plateforme qui permet à nos clients de disposer de la visibilité et de la capacité de détection et de réponse sur des informations provenant de multiples sources : Cloud, environnement utilisateur et réseau. »
L’éditeur vient de compléter sa plateforme XDR de Trend Micro Cloud Online, un module destiné aux entreprises qui migrent leur système d’information vers le Cloud ou qui développent des applications natives pour le Cloud. « Pour la protection des utilisateurs, nous avons une solution de détection et de réponse pour les endpoints, l’email, le réseau, les serveurs et le Cloud sur une même plateforme pour voir d’où provient une menace et comment s’en prémunir. » Le volet réseau de la plateforme XDR Trend Micro s’est enrichi de capacités de détection pour les réseaux IoT et IIoT pour répondre aux besoins de l’industrie 4.0, mais aussi de la voiture connectée et plus largement des objets connectés.
A cumuler ainsi les sources de données dans le Data Lake de la plateforme, le rôle de l’XDR se rapproche de plus en plus de celui du SIEM vers qui, traditionnellement, convergent les fichiers de log en tous genres et qui sert de base de travail pour les analystes des SOC. En analysant des données de firewalls en plus des données des postes clients et serveurs, l’XDR semble de plus en plus jouer ce rôle et certains commencent à appeler les offres d’XDR managées des éditeurs les SOC du pauvre… l’éditeur prenant les tâches de collecte mais aussi d’analyses automatiques à sa charge via des algorithmes et un premier niveau de support par ses propres analystes.
L’XDR est-il amené à remplacer le SIEM ?
Pour Eric Antibi, de Palo Alto Networks, il n’y a pas véritablement concurrence entre ces services XDR et les services rendus par un SOC : « L’XDR est complémentaire du SIEM. En moyenne, un SOC collecte 170 000 alertes par semaine et n’est en capacité d’en traiter que 10 % environ. Ce n’est pas une question de stockage des informations, mais la quantité d’événements de sécurité est telle qu’il manque de suffisamment de ressources humaines pour réellement corréler ces informations et les traiter. » Les SIEM auront toujours un rôle à jouer notamment afin de consolider les informations de sources issues de solutions très différentes, y compris des données hors de l’IT comme, par exemple les dispositifs d’accès aux bureaux. « Cortex XDR vient se positionner aux côtés du SIEM en recueillant des informations issues de notre agent de protection sur les endpoints, des informations depuis les firewalls, les WAF qui, outre la protection des ressources IT, jouent aussi un rôle de sonde et collectent des données pour le Data Lake de l’XDR. Des connecteurs nous permettent aussi de récupérer ce type d’information depuis des firewalls d’autres éditeurs. De même, nos solutions de protection de conteneur et solutions virtualisées installées dans le Cloud alimentent aussi ce Data Lake qui est opéré dans le Cloud. » Le responsable souligne que les données envoyées dans le Data Lake du XDR sont des logs enrichies, ce qui facilite le travail des algorithmes et permet d’éliminer bon nombre de faux positifs, le fléau traditionnel des SIEM. « L’un de nos clients qui traite 200 000 événements par jour émis par 200 firewalls et 17 000 postes clients a pu ramener ce nombre à 2 000 événements enrichis, c’est-à-dire avec une qualité de données bien supérieure. D’une part cela permet aux algorithmes de détecter des signaux faibles et cela nous permet de faire nous-mêmes une part des tâches de remédiation. D’autre part n’envoyer vers le SOC plus que 2 000 événements au lieu de 200 000 permet de réduire les coûts liés au SIEM. »
L’XDR, l’avenir inéluctable de la protection endpoint
Si le mouvement du marché vers l’XDR n’est pas encore uniforme, F-Secure par exemple ne s’est pas engagé dans cette voie, beaucoup considèrent que l’EDR va peu à peu remplacer les antivirus traditionnels mais aussi que ceux-ci vont analyser des données de plus en plus diverses. Ainsi, l’éditeur français Nucleon Security, spécialisé dans l’EDR, a créé pour sa plateforme Nucleon Smart Endpoint une couche d’abstraction qui unifie les événements hétérogènes issus de différentes infrastructures. « Cette unification permet d’éviter les angles morts de la cyberdéfense et d’assurer une réponse globale aux attaques, que ces dernières soient initiées depuis un poste de travail ou depuis le cloud » estime Anas Chanaa, cofondateur de l’entreprise.
Celui-ci estime que les éditeurs doivent enrichir leurs plateformes avec des fonctionnalités permettant d’unifier la détection et la réponse sur des infrastructures hétérogènes afin de préserver la pertinence de leur EDR. Une approche manifestement en train de s’imposer sur le marché.