La détection des cyberattaques basée sur le comportement garantit une réaction rapide aux anomalies. Les entreprises sont ainsi mieux protégées. Dans ce contexte, XDR transforme le travail des Security Analysts au sein du SOC.
Texte: Andreas Heer, Photo: Adobe Stock
17 mars 2023
Les cybercriminels sont très inventifs. À peine Microsoft stoppe-t-elle l’exécution de macros dans les documents Office téléchargés que les hackers cherchent de nouvelles portes d’entrée dans le réseau de l’entreprise. Les fichiers ZIP, les images ISO et les notes OneNote avec des scripts Visual Basic intégrés sont autant de nouvelles méthodes pour transmettre des codes malveillants avec des e-mails d’hameçonnage.
Ces formes d’attaque constituent un défi en termes de défense.Surtout si leur détection repose uniquement sur des moyens traditionnels comme les antivirus basés sur des signatures et l’analyse des fichiers journaux des terminaux sur le réseau. De plus, les Security Analysts sont confrontés à une vaste zone grise: s’est-il vraiment passé quelque chose lors de l’accès à un site web suspect? Un malware a-t-il lancé un processus PowerShell ou est-ce un administrateur? Les nombreuses alertes – jusqu’à 11 000 par jour selon une étude de Palo Alto – compliquent la situation et entraînent une «Alert Fatigue»: les messages répétitifs sont ignorés, car il ne s’est jamais rien passé.
Dans ce contexte, les prestataires de sécurité IT ont développé Endpoint Detection and Response (EDR). La solution analyse les terminaux à la recherche de comportements suspects et d’anomalies et peut réagir de manière automatique en cas de soupçon. Par exemple, les fichiers suspects sont mis en quarantaine. La vue reste toutefois limitée aux différents appareils individuellement. Seule une corrélation complexe dans un SIEM (Security Information an Event Management) ou un SOAR (Security Orchestration, Automation and Response), des systèmes eux aussi complexes en soi, garantit une vue d’ensemble.
Mais pour la première fois, l’évolution XDR (Extended Detection and Response) offre un aperçu complet des processus suspects au sein d’une même offre. Elle étend l’approche EDR aux appareils réseau et aux services cloud. «Nous pouvons ainsi suivre les événements tout au long de leur déroulement et identifier les liens entre les différentes étapes», déclare Yannick Schuitemaker, Security Analyst chez Swisscom, pour décrire l’avantage de XDR par rapport à EDR.
Cela simplifie le travail des Security Analysts selon Schuitemaker: «Avant XDR, notre vision globale était limitée, avec les fichiers log d’un proxy par exemple. Aujourd’hui, nous voyons d’emblée toute la communication d’un hacker.» En s’appuyant sur la corrélation d’événements basée sur le machine learning, XDR facilite la recherche en cas d’alerte. Et le produit permet aux experts en sécurité de réagir plus vite et surtout plus tôt. Grâce à la réactivité de XDR, il est par exemple souvent possible de stopper une attaque par ransomware avant une propagation générale sur le réseau de l’entreprise, évitant ainsi le cryptage des données clés de l’entreprise.
XDR propose ainsi une plateforme centrale pour effectuer les analyses et prendre les premières mesures de défense en cas de cyberattaque. Selon le cas, il est même possible de remplacer plusieurs outils dans le Security Operations Center ou même un SIEM complexe. La tâche des Security Analysts est simplifiée, tout comme celle du CFO: il peut réduire les coûts (de licence).
La corrélation automatisée des alertes sur toute l’infrastructure réduit également le nombre d’avis à traiter par les analystes. «Cela nous aide à gérer chaque alerte plus en profondeur et à réduire le risque d’Alert Fatigue», explique Schuitemaker.
Lors de la détection, XDR soulage les experts en sécurité des tâches de routine, et offre l’avantage d’une plateforme cloud: XDR reconnaît d’emblée les attaques connues et tous les utilisateurs disposent de nouveaux modèles de détection. «La détection des attaques est de meilleure qualité, ce qui nous fait gagner du temps», précise Schuitemaker pour décrire les avantages de cette approche. «Nous pouvons utiliser notre expertise pour des cas spécifiques, au lieu de nous occuper de tâches de routine.»
Avec XDR, les (rares) spécialistes en cybersécurité voient leur travail simplifié. Mais ils ne sont pas pour autant remplacés. «En cas de doute, la décision des mesures de réponse revient toujours à l’être humain», explique Schuitemaker. «Car chaque infrastructure est différente.» La réaction humaine est décisive pour agir correctement dans la zone grise des anomalies et pour distinguer les cyberattaques des comportements inhabituels mais volontaires.
Toutefois, Extended Detection and Response étant en capacité de détecter les cyberattaques sur toute l’infrastructure et de déclencher des mesures de défense, les spécialistes s’épargnent beaucoup de travail fastidieux. Cela libère des ressources pour la défense réelle tout en optimisant la protection de défense des entreprises, ou Security Posture.