Le concept XDR est une solution de sécurité qui intègre et orchestre plusieurs technologies de sécurité afin de fournir une vue plus complète de l'état de sécurité d'une organisation.
Il inclut généralement l'EDR, le NDR, le SIEM et d'autres outils de CTI. Tous ces outils travaillent ensemble pour effectuer la détection et la réponse grâce à l'XDR.
Dans la première partie de cet article, nous avons vu ce qu'étaient un NDR et un EDR.
Nous allons maintenant nous intéresser à ce qui peut sembler être une évolution de ceux-ci, à savoir le XDR.
XDR (eXtended Detection and Response)
- Capacités de détection :
Les capacités de détection du XDR sont infinies puisqu'il est alimenté par de nombreux autres outils de sécurité.
La limite des capacités de détection dépend des limites des outils de détection connectés au XDR. Par exemple, si vous avez un EDR et un NDR dans votre organisation, les capacités de détection du XDR combineront les deux.
En plus de cette détection apportée par des outils externes, la plateforme XDR intègre souvent des fonctions de sécurité natives comme le SIEM ou le SOAR.
- Capacités de réponse :
Tout comme la détection, le XDR bénéficiera des capacités de réponse des produits de sécurité qui y sont connecté, ajoutées aux capacités de réponse des outils intégrés comme le SOAR.
- Modèle d'intégration :
Le XDR est principalement déployé en tant que solution SaaS : il vous suffit de connecter vos solutions de sécurité actuelles au XDR pour que vos capacités de détection et de réponse soient considérablement améliorées.
MDR (Managed Detection and Response)
MDR est une solution différente des autres car il ne s'agit pas d'un produit de sécurité mais d'un service.
Il s'agit d'un service fourni par un fournisseur tiers où le client externalise la fonction de détection et de réponse au fournisseur, qui utilise alors une combinaison de technologies (telles que EDR, NDR ou XDR) et une expertise humaine pour surveiller, détecter et répondre aux incidents de sécurité.
Les services MDR incluent généralement :
- Une supervision continue (24 heures sur 24 et 7 jours sur 7) des alertes de sécurité
- La remontée d'alertes en temps réel et réponse aux incidents
- L'accès à un niveau avancée de renseignement sur la menace (CTI)
- L'accès à une équipe d'experts en sécurité
- Des évaluations et des rapports de sécurité réguliers aux équipes opérationnelles et décisionnelles (KPI de sécurité)
- L'intégration à l'infrastructure de sécurité existante du client
Le MDR est souvent utilisé par les organisations qui ne disposent pas des ressources ou de l'expertise nécessaires pour gérer efficacement leurs propres capacités de détection et de réponse aux incidents de sécurité.
Il peut également s'agir d'une solution efficace pour les petites et moyennes entreprises qui ne disposent pas d'une équipe de sécurité dédiée, ainsi que pour les grandes organisations qui souhaitent renforcer leurs capacités de sécurité existantes avec une expertise et des ressources supplémentaires.
Le tableau suivant résume les informations partagées sur ces articles, pour vous aider à comparer plus facilement:
EDR |
NDR |
XDR |
MDR |
|
Qu’est-ce que c’est ? |
Un logiciel déployé sur chaque terminal (poste de travail et serveur) d'une organisation. |
Sondes (généralement physiques) déployées sur le réseau d'une organisation pour inspecter et détecter les menaces sur les flux réseaux. |
Une console centrale qui gère et orchestre l'ensemble de la sécurité d'une organisation. |
Un service fourni par un fournisseur tiers où le client externalise la fonction de détection et de réponse au fournisseur. |
Avantages |
La solution de sécurité la plus puissante pour détecter et répondre aux menaces sur les terminaux (postes de travail et serveurs). |
Peut détecter les menaces sur n'importe quel dispositif, y compris l’IoT. Outil de détection de réseau plus avancé. |
Augmentez considérablement vos capacités globales de détection et de réponse. |
Fournir l'accès à des technologies de sécurité avancées et à une expertise qui ne seraient pas accessibles autrement. |
Inconvénients |
Ne peut pas être déployé dans des terminaux " non standard " comme les iOT ou autres dispositifs OT. |
Les capacités de réponse sont limitées : vous avez besoin d'autres solutions de sécurité |
De nombreux prérequis pour le faire fonctionner : produits de sécurité et compétences techniques avancées |
Comme tout service externalisé, sa qualité, notamment sur les phases de détection et de réponse dépendra en grande partie de la qualité du service du fournisseur. |
Quand celui-ci est-il le meilleur pour mon organisation ? |
Si vous disposez d'un système informatique standard (sans ou avec peu de dispositifs OT) et que vous cherchez à renforcer rapidement votre sécurité. |
Si vous avez beaucoup d'appareils non gérés (iOT) et d'autres équipements de sécurité actifs (Firewall / EDR / Proxy). |
Si vous avez de solides compétences en matière de détection et de réponse et vous souhaitez renforcer vos capacités de détection et de réponse. |
Si vous ne disposez pas des ressources ou de l'expertise nécessaires pour gérer efficacement vos propres activités de détection et de réponse. |