Les RSSI, les DSI et les DAF ont des rôles différents, mais lorsqu’ils envisagent d’investir dans une nouvelle infrastructure ou un nouveau service, ils se posent souvent la même question : “La nouvelle solution fonctionne-t-elle avec la technologie que nous avons déjà en place ?”.
Personne ne veut acheter une nouvelle solution de ponctuelle ou un service de stockage cloud, pour se rendre compte ensuite qu’il faut aussi de nouveaux outils pour réaliser un retour sur investissement.
Cette question de la compatibilité technologique est particulièrement cruciale lors de la sélection d’un service de Managed Detection and Response (MDR).
Les services MDR varient considérablement dans les types de solutions de sécurité qu’ils prennent en charge, et beaucoup s’accompagnent de coûts cachés et de gaspillages de ressources, ce qui oblige les équipes à modifier la pile de sécurité pour s’intégrer pleinement au MDR ou à quitter l’organisation en ne résolvant qu’une petite partie du problème.
Pour éviter ces pièges et ces complications, BlackBerry a développé CylanceMDR™ sur une plateforme Open XDR, avec un vaste écosystème d’intégrations préconstruites collectant la télémétrie des capteurs d’app, de réseau, de cloud, d’identités et endpoints.
Ces données sont automatiquement collectées, enrichies et analysées pour produire des détections de haute fidélité, une couverture et une visibilité supérieures dans l’ensemble de votre environnement de production.
Explorons les capacités MDR débloquées par une plateforme Open XDR.
Les services natifs MDR ne produisent pas d’assez bons résultats
De nombreux services de MDR se concentrent sur la prise en charge de solutions natives fournies directement par le fournisseur de MDR.
Bien que potentiellement optimisées pour l’écosystème du fournisseur, ces solutions présentent des inconvénients importants, notamment une visibilité limitée, une détection des menaces médiocre et un verrouillage du fournisseur.
En revanche, un service MDR construit sur une plateforme Open XDR permet d’intégrer des données télémétriques provenant d’un plus grand nombre de sources, offrant ainsi une meilleure visibilité et permettant une détection et une réponse plus efficaces aux menaces, ce qui présente des avantages significatifs :
- Collecte de données plus large : Une plateforme Open XDR peut collecter des données provenant de diverses sources, y compris des environnements sur site, cloud et hybrides. Cette collecte complète de données est essentielle pour identifier les menaces qui pourraient échapper à un système qui ne surveille qu’un seul type d’environnement. Par exemple, une plateforme Open XDR peut corréler les données du trafic réseau avec les journaux des terminaux et l’activité dans le cloud, offrant ainsi une vision holistique du paysage de la sécurité.
- Capacité à corréler les données : Une plateforme Open XDR peut identifier des attaques sophistiquées qui s’étendent sur plusieurs domaines en intégrant des données provenant de différents environnements. Cette capacité est essentielle pour détecter les menaces persistantes avancées et d’autres attaques complexes qui englobent plusieurs étapes dans différentes parties de l’infrastructure informatique.
- Exploitation des meilleures technologies : Une plateforme Open XDR permet aux organisations d’utiliser les meilleures technologies disponibles pour le renseignement et l’analyse des menaces, quel que soit le fournisseur. Cela signifie que les organisations peuvent exploiter des modèles avancés d’apprentissage automatique, d’analyse comportementale et d’autres technologies de pointe pour améliorer leurs capacités de détection des menaces.
- Une réponse aux incidents plus rapide et plus précise : Grâce à des données intégrées et cohérentes provenant de sources multiples, les équipes de réponse aux incidents peuvent réagir plus rapidement et avec plus de précision. La corrélation des événements entre différents systèmes réduit le temps nécessaire pour comprendre l’étendue et l’impact d’un incident, ce qui permet de le contenir et d’y remédier plus rapidement.
- Flexibilité pour changer de technologie : Une plateforme XDR ouverte offre la possibilité de remplacer des composants sans perturber le service MDR dans son ensemble. Cela est particulièrement important à mesure que de nouvelles menaces apparaissent et que de nouvelles technologies sont développées pour les combattre. Les organisations ne sont pas liées à l’écosystème d’un seul fournisseur et peuvent adapter leur dispositif de sécurité pour faire face à l’évolution des menaces.
- Atténuer les risques : S’appuyer sur un seul fournisseur pour tous les besoins de sécurité peut s’avérer risqué si la technologie de ce fournisseur prend du retard ou s’il y a des attaques de la chaîne d’approvisionnement ou d’autres problèmes imprévus. Une plateforme Open XDR atténue ces risques en permettant aux organisations de diversifier leurs technologies de sécurité et d’éviter de dépendre d’un seul fournisseur.
Que peut faire un service MDR avec une plateforme XDR ouverte ?
Maintenant que nous comprenons globalement l’importance de l’Open XDR pour les services MDR, explorons la valeur associée à des types spécifiques de télémétrie.
Les sources de données réseau telles que les journaux de pare-feu, les journaux VPN, l’infrastructure réseau et les DNS donnent aux analystes MDR une vue d’ensemble de l’environnement, y compris de l’activité des dispositifs non gérés et malveillants, ce qui leur permet d’avoir une vue d’ensemble de l’environnement et de l’infrastructure réseau :
- Détection avancée des menaces : Une plateforme Open XDR peut détecter des attaques sophistiquées telles que le mouvement latéral et l’exfiltration de données en corrélant les données du trafic réseau avec d’autres sources de données.
- Amélioration de la criminalistique : L’analyse détaillée du trafic réseau aide les organisations à comprendre la portée et l’impact des incidents de sécurité, facilitant ainsi une réponse et une remédiation plus efficaces.
Les sources de données des applications/SaaS permettent aux services MDR de surveiller l’activité des utilisateurs, les schémas d’accès et l’utilisation des données, améliorant ainsi la détection des comportements suspects et des menaces potentielles. Cette visibilité garantit une protection solide :
- Une sécurité accrue des applications : La surveillance des activités des utilisateurs et des flux de données au sein des applications SaaS permet de détecter les anomalies et les violations potentielles de données.
- Conformité et protection des données : La surveillance de l’accès aux données et de leur utilisation au sein des applications pour garantir le respect des exigences de conformité permet de protéger les informations sensibles et de respecter les normes réglementaires.
- Analyse du comportement des utilisateurs : La détection de comportements anormaux des utilisateurs peut indiquer des comptes compromis ou des menaces internes, ce qui permet d’intervenir à temps.
Les sources de données cloud fournissent aux analystes MDR des informations sur la configuration, les journaux d’accès et l’activité au sein des environnements cloud, ce qui permet de détecter les mauvaises configurations, les accès non autorisés et les violations potentielles.
Les cas d’utilisation des données cloud sont les suivants :
- Gestion de la sécurité informatique dématérialisée : La surveillance continue des configurations et des activités informatique dans le cloud garantit l’application des politiques de sécurité et l’identification rapide des menaces potentielles.
- Détection des menaces spécifiques à l’informatique dans le cloud : L’identification des menaces propres aux environnements cloud, telles que les API non sécurisées et les accès non autorisés, est essentielle au maintien de la sécurité cloud.
- Corrélation entre les environnements : La corrélation des données du cloud avec les données sur site permet de détecter les menaces hybrides et de garantir une sécurité transparente dans tous les environnements.
Les sources de données d’identité permettent aux services MDR de surveiller les événements d’authentification, le comportement des utilisateurs et les schémas d’accès, ce qui permet de détecter un large éventail de menaces, notamment :
- Gestion des identités et des accès : La surveillance des événements d’authentification et d’autorisation permet de détecter les informations d’identification compromises et les escalades de privilèges.
- Détection des anomalies : L’identification de modèles de connexion anormaux, tels que les connexions à partir de lieux ou d’appareils inhabituels, peut indiquer des failles de sécurité potentielles.
- Surveillance de l’authentification multi-facteurs (MFA) : S’assurer que les politiques d’authentification multifactorielle sont appliquées et détecter les tentatives de contournement de l’authentification multifactorielle ajoute une couche supplémentaire de sécurité.
- Profils d’utilisateur unifiés : L’agrégation des données d’identité provenant de sources multiples pour créer des profils d’utilisateur complets améliore la détection et la réponse aux menaces.
Les solutions de protection des terminaux multiples sont souvent présentes dans les environnements de grande taille, en particulier ceux qui présentent un degré élevé de fédération ou qui font suite à une fusion/acquisition.
Dans ce cas, il est important qu’un service MDR ait accès aux données de toutes les solutions de protection des terminaux pertinentes sur une plateforme centralisée pour permettre une :
- Visibilité centralisée des points de terminaison : l’agrégation des données provenant de diverses solutions de protection des endpoints fournit une vue unifiée de la sécurité des endpoints, ce qui facilite l’identification et la réponse aux menaces.
- Réponse coordonnée : l’orchestration des actions de réponse sur différentes solutions de protection des terminaux garantit une atténuation complète des menaces.
- Analyse comparative : l’analyse et la comparaison de l’efficacité de différentes solutions de protection des terminaux permettent d’identifier les lacunes et les domaines à améliorer.
Les sources de données de technologie opérationnelle (OT) sont de plus en plus présentes aux côtés des appareils informatiques traditionnels et sont souvent soumises aux mêmes types de menaces. Une plateforme Open XDR peut fournir aux analystes MDR un accès aux données de sécurité OT, déverrouillant ainsi la :
- Sécurité des technologies opérationnelles : la surveillance des systèmes de contrôle industriel (ICS) permet de détecter les anomalies et les menaces potentielles dans les environnements OT, protégeant ainsi les infrastructures critiques.
- Sécurité IT/OT unifiée : la corrélation des données OT avec les données de sécurité informatique fournit une vue de sécurité unifiée, aidant à détecter les menaces mixtes qui couvrent à la fois les environnements IT et OT.
- Intégration des renseignements sur les menaces : l’exploitation des renseignements sur les menaces spécifiques aux environnements OT/ICS permet une détection et une atténuation proactives des menaces, améliorant ainsi la posture de sécurité globale.
Conclusion
La sélection d’un service MDR basé sur une plateforme Open XDR, telle que CylanceMDR, offre une flexibilité, une visibilité et une efficacité inégalées dans la détection et la réponse aux menaces.
En exploitant diverses sources de données et en intégrant les meilleures technologies, une plateforme Open XDR permet aux entreprises d’obtenir une couverture de sécurité complète et une meilleure veille sur les menaces.
En évitant le verrouillage des fournisseurs et en atténuant les risques associés, les entreprises peuvent adapter et faire évoluer leurs stratégies de sécurité pour répondre aux nouveaux défis.
Consultez CylanceMDR pour en savoir plus sur la manière dont une plateforme Open XDR peut améliorer la posture de sécurité de votre organisation et fournir la protection complète dont vous avez besoin contre les menaces avancées d’aujourd’hui.
Plus d’informations concernant les solutions :