Threat Intelligence : le rôle des plateformes dans l'implémentation du XDR
Les plateformes de Threat Intelligence fonctionnent à la manière d'un référentiel de données et de renseignements issus de ressources internes et externes et doivent servir d'intermédiaire entre la technologie en place et les solutions de sécurité dans le cloud.
À mesure que défile la nouvelle année, le processus qui consiste à s'interroger sur la manière d'allouer le plus efficacement possible le budget dédié à la cybersécurité s'intensifie au sein des entreprises. D'après les acteurs du secteur qui rapportent fréquemment que les entreprises consacrent plus d'argent au renforcement de leur stratégie visant à contrer les menaces persistantes et sophistiquées, la bonne nouvelle est que ce type de budget est en hausse.
Parmi les premiers rangs des investissements privilégiés s'inscrivent fièrement les solutions XDR (eXtended Detection and Response), dont l'ampleur s'est rapidement élargie au cours des deux dernières années. Les analystes prévoient d'ailleurs une croissance à trois chiffres sur ce marché, alors que les entreprises aspirent à implémenter un modèle de sécurité complet de bout en bout.
Mais, avant d'investir tête baissée dans ces solutions, il convient d'explorer ce qu'elles recouvrent vraiment, leur compatibilité d'intégration aux outils déjà en place, et la mesure dans laquelle les plateformes de Threat Intelligence peuvent aider les entreprises à combler le fossé entre leur modèle actuel et leur future optimisation XDR.
Lire aussi : La XRD peut-elle remplacer les SIEM dans les SOC ?
Qu'est-ce que le XDR ?
À l'heure actuelle, plusieurs définitions tentent de déterminer ce qu'est le XDR. Parmi elles, le résumé qu'en fait l'analyste Jon Oltsik d'ESG, qui énonce ce qui suit, semble être une explication plutôt pertinente : « suite intégrée de produits de sécurité couvrant des architectures informatiques hybrides, conçue en faveur de l'interaction et de la coordination de la prévention, de la détection et de la réponse à incident.
En d'autres termes, le XDR unifie les points de contrôle, la télémétrie, les analyses et les opérations de sécurité dans un seul et même système d'entreprise. »
En effet, le XDR ne combine pas simplement un ou deux outils de sécurité, comme l'EDR et le SIEM. Il doit être capable de normaliser et de relier les données de tout un ensemble d'outils de sécurité - de fournisseurs et de conceptions variés - et de réagir automatiquement en fonction des informations dont il dispose.
Le défi qui se présente pour les entreprises, au moment d'étudier la manière d'implémenter le XDR, est que ce qui est applicable pour l'une ne l'est pas forcément pour l'autre. Au fil du temps, chacune a en effet adopté de façon organique une suite hétérogène de technologies et tactiques de protection en fonction des besoins qui se sont présentés et de la menace induite.
Lire aussi : XDR : service ou technologie ?
Ces organisations se sont alors procuré des outils pour traiter certains aspects particuliers des menaces et de la gestion de la cybersécurité : pare-feu, antivirus, EDR, . pour n'en citer que quelques-uns. En résultent souvent des systèmes tentaculaires, susceptibles de regrouper jusqu'à 80 fournisseurs pour les plus importants.
Parmi eux, des marques reconnues et d'autres choisies pour être les meilleures dans le cas d'usage donné. Pour s'assurer de conserver leur position sur des marchés extrêmement concurrentiels, bon nombre de ces fournisseurs, qui existaient avant le changement de philosophie en faveur des API ouvertes et de l'intégration, ont cherché à isoler leurs clients dans un système bien défini.
Sans surprise, en résulte un faible intérêt à remplacer cet investissement hérité par une solution entièrement nouvelle. Par ailleurs, dans un environnement qui évolue rapidement et où les outils et fournisseurs continueront d'émerger pour faire face aux nouveaux cas d'usage, les entreprises souhaitent conserver la flexibilité d'intégrer au besoin de nouvelles solutions.
Par conséquent, démanteler les systèmes de sécurité existants pour mettre tous ses oeufs dans le même panier défie ici la logique.
Optimisation du XDR grâce aux plateformes de Threat Intelligence
Plutôt que de renoncer aux investissements de sécurité antérieurs, la meilleure approche consiste à trouver un moyen de contrer l'isolement de façon à améliorer l'intégration et à exploiter la masse de données dont les entreprises disposent déjà.
Les plateformes de Threat Intelligence fonctionnent à la manière d'un référentiel de données et de renseignements issus de ressources internes et externes et doivent servir d'intermédiaire entre la technologie en place et les solutions de sécurité dans le cloud.
La puissance de ces plateformes réside dans l'intégration fluide des outils existants, qui permet aux équipes de sécurité de bénéficier de toutes les informations dont elles disposent déjà dans leur système, sans subir de surcharge de données.
Une fois ces données collectées, l'une des principales fonctions des plateformes est ensuite de les contextualiser. Considérées comme source de vérité unique pour les équipes et recoupées avec des flux tiers, les données internes sont alors enrichies de leur contexte.
La superposition de ces données avec les décisions stratégiques et l'analyse des risques permet de classer automatiquement les alertes par ordre de priorité. Les équipes de sécurité peuvent ainsi identifier les menaces les plus pertinentes et l'ordre dans lequel elles doivent être gérées.
Une plateforme de Threat Intelligence correctement implémentée permet également de limiter le nombre de faux positifs. Par exemple, les flux étant connus comme particulièrement actifs ou plus enclins à ce type de résultats pourront se voir attribuer un score de priorité inférieur qu'un flux Splunk interne.
En limitant les informations parasites, les alertes reçues par les équipes gagnent en fiabilité. En résultent une plus grande rapidité des opérations de sécurité et un meilleur environnement de travail.
Création d'une mémoire d'entreprise
Tout particulièrement en ce moment, de nombreuses organisations doivent faire face à un turn-over de leurs collaborateurs. Les entreprises sont plus exposées jusqu'à ce que les nouveaux collaborateurs se mettent à niveau.
Disposer d'une plateforme de Threat Intelligence aide à constituer un registre des menaces identifiées, ainsi que de la manière dont elles ont été classées et gérées. En créant une mémoire d'entreprise sur base des incidents rencontrés et des actions entreprises, les équipes de sécurité bénéficient du travail de leurs prédécesseurs.
En définitive, tandis qu'elles poursuivent leur transition vers une solution XDR complète, les entreprises devraient s'interroger sur la manière dont les plateformes de Threat Intelligence peuvent optimiser cette intégration, tout en permettant à leurs équipes de sécurité de gagner en efficacité, sans renoncer à leurs précédents investissements.
Sur le même thème
Voir tous les articles Cybersécurité