Accueil Astuces et Informations Threat Intelligence : le rôle des plateformes dans l’implémentation du XDR

Threat Intelligence : le rôle des plateformes dans l’implémentation du XDR

13
3
Threat Intelligence : le rôle des plateformes dans l'implémentation du XDR

Les plateformes de Threat Intelligence fonctionnent à la manière d’un référentiel de données et de renseignements issus de ressources internes et externes et doivent servir d’intermédiaire entre la technologie en place et les solutions de sécurité dans le cloud.
À mesure que défile la nouvelle année, le processus qui consiste à s’interroger sur la manière d’allouer le plus efficacement possible le budget dédié à la cybersécurité s’intensifie au sein des entreprises. D’après les acteurs du secteur qui rapportent fréquemment que les entreprises consacrent plus d’argent au renforcement de leur stratégie visant à contrer les menaces persistantes et avancées, la bonne nouvelle est que ce type de budget est en hausse.

Parmi les premières gammes d’investissements privilégiés s’inscrivent fièrement les solutions XDR (eXtended Detection and Response), dont l’ampleur s’est rapidement élargie au cours des deux dernières années. Les analystes se chargent d’ailleurs d’une croissance à trois chiffres sur ce marché, alors que les entreprises aspirent à mettre en œuvre un modèle de sécurité complet de bout en bout.

Mais, avant d’investir tête baissée dans ces solutions, il convient d’explorer ce qu’elles recouvrent vraiment, leur compatibilité d’intégration aux outils déjà en place, et la mesure dans laquelle les plateformes de Threat Intelligence peuvent aider les entreprises à combler le fossé entre leur modèle actuel et leur future optimisation XDR.

Qu’est-ce que le XDR ?

À l’heure actuelle, plusieurs définitions tentent de déterminer ce qu’est le XDR. Parmi elles, le résumé qu’en fait l’analyste Jon Oltsik d’ESG, qui énonce ce qui suit, semble être une explication plutôt pertinente : « suite intégrée de produits de sécurité couvrant des architectures informatiques hybrides, conçue en faveur de l’ interaction et de la coordination de la prévention, de la détection et de la réponse à incident.

En d’autres termes, le XDR unifie les points de contrôle, la télémétrie, les analyses et les opérations de sécurité dans un seul et même système d’entreprise. »

En effet, le XDR ne combine pas simplement un ou deux outils de sécurité, comme l’EDR et le SIEM. Il doit être capable de normaliser et de relier les données de tout un ensemble d’outils de sécurité — de fournisseurs et de conceptions variées — et de réagir automatiquement en fonction des informations dont il dispose.

Le défi qui se présente pour les entreprises, au moment d’étudier la manière d’implémenter le XDR, est que ce qui est applicable pour l’une ne l’est pas pour l’autre. Au fil du temps, chacune a en effet adopté de façon organique une suite hétérogène de technologies et de tactiques de protection en fonction des besoins qui se présentent et de la menace induite.

Ces organisations se sont alors procurées des outils pour traiter certains aspects particuliers des menaces et de la gestion de la cybersécurité : pare-feu, antivirus, EDR, … pour n’en citer que quelques-uns. En résultent souvent des systèmes tentaculaires, susceptibles de se regrouper jusqu’à 80 fournisseurs pour les plus importants.

Parmi eux, des marques reconnues et d’autres choisies pour être les meilleures dans le cas d’usage donné. Pour s’assurer de conserver leur position sur des marchés extrêmement concurrentiels, bon nombre de ces fournisseurs, qui existaient avant le changement de philosophie en faveur des API ouvertes et de l’intégration, ont cherché à isoler leurs clients dans un système bien défini.

Sans surprise, en résulte un faible intérêt à remplacer cet investissement apporté par une solution entièrement nouvelle. Par ailleurs, dans un environnement qui s’étend rapidement et où les outils et fournisseurs continuent d’émerger pour faire face aux nouveaux cas d’usage, les entreprises souhaitent conserver la capacité d’intégrer au besoin de nouvelles solutions.

Par conséquent, démantèler les systèmes de sécurité existants pour mettre tous ses œufs dans le même panier défié ici la logique.

Optimisation du XDR grâce aux plateformes de Threat Intelligence

Au lieu de renoncer aux investissements de sécurité antérieurs, la meilleure approche consiste à trouver un moyen de contrer l’isolement de façon à améliorer l’intégration et à exploiter la masse de données dont les entreprises disposent déjà.

Les plateformes de Threat Intelligence fonctionnent à la manière d’un référentiel de données et de renseignements issus de ressources internes et externes et doivent servir d’intermédiaire entre la technologie en place et les solutions de sécurité dans le cloud.

La puissance de ces plateformes réside dans l’intégration fluide des outils existants, qui permet aux équipes de sécurité de bénéficier de toutes les informations dont elles disposent déjà dans leur système, sans subir de surcharge de données.

Une fois ces données requises, l’une des principales fonctions des plateformes est ensuite de les contextualiser. Considérées comme source de vérité unique pour les équipes et récupérées avec des tiers de flux, les données internes sont alors enrichies de leur contexte.

La superposition de ces données avec les décisions stratégiques et l’analyse des risques permet de classer automatiquement les alertes par ordre de priorité. Les équipes de sécurité peuvent ainsi identifier les menaces les plus applicables et l’ordre dans lequel elles doivent être contrôlées.

Une plateforme de Threat Intelligence correctement implémentée permet également de limiter le nombre de faux positifs. Par exemple, les flux connus étant comme particulièrement actifs ou plus enclins à ce type de résultats pourraient se voir attribuer un score de priorité inférieur à celui d’un flux Splunk interne.

En limitant les informations parasites, les alertes reçues par les équipes gagnent en fiabilité. Il en résulte une plus grande rapidité des opérations de sécurité et un meilleur environnement de travail.

Création d’une mémoire d’entreprise

Tout particulièrement en ce moment, de nombreuses organisations doivent faire face à un roulement de leurs collaborateurs. Les entreprises sont plus exposées jusqu’à ce que les nouveaux collaborateurs se mettent à niveau.

Disposer d’une plateforme de Threat Intelligence aide à constituer un registre des menaces divulguées, ainsi que de la manière dont elles ont été classées et gérées. En prévenant une mémoire d’entreprise sur la base des incidents rencontrés et des actions entreprises, les équipes de sécurité bénéficient du travail de leurs prédécesseurs.

En définitive, tandis qu’elles poursuivent leur transition vers une solution XDR complète, les entreprises doivent s’interroger sur la manière dont les plateformes de Threat Intelligence peuvent optimiser cette intégration, tout en permettant à leurs équipes de sécurité de gagner en efficacité, sans renoncer à leurs investissements précédents.