La vitesse à laquelle les acteurs malveillants ont amélioré leurs tactiques d’attaque et continuent de pénétrer les systèmes de sécurité a fait de l’expansion la tendance majeure de la cybersécurité.

Face à un paysage des menaces en constante évolution, les entreprises ont réagi en créant des piles de sécurité plus importantes, en ajoutant plus d’outils et de plates-formes et en rendant leurs défenses plus complexes – un nouvel eBook du fournisseur XDR Cynet (lisez-le ici).

Les organisations se retrouvent dans une course aux armements virtuelle avec des acteurs malveillants. Les attaquants trouvent de nouveaux moyens plus furtifs de pénétrer les défenses d’une organisation, et les organisations construisent des murs plus hauts, achètent plus de technologies pour se protéger et étendent leurs piles de sécurité.

L’argent est un élément clé du succès de la sécurité – une réalité difficile pour les organisations plus légères qui pourraient ne pas avoir les budgets apparemment interminables des grandes sociétés et entreprises.

La question de savoir ce que des équipes de sécurité allégées pouvaient faire à ce sujet n’était “pas beaucoup”, mais aujourd’hui, ce n’est plus le cas. Même si l’industrie de la cybersécurité comprend des centaines d’outils, de plates-formes et de services que les organisations peuvent utiliser pour se défendre, les entreprises plus légères découvrent de plus en plus qu’avoir toutes les cloches et tous les sifflets n’est pas toujours une nécessité.

Cependant, trouver le bon outil pour remplacer toutes ces technologies nécessite une certaine prévoyance. De plus, cela nécessite une certaine compréhension de ce qui se passe dans la pile de sécurité d’une grande entreprise.

Que contient une pile de sécurité de grande entreprise ?

Les piles de sécurité modernes comportent plusieurs pièces mobiles et nécessitent des outils spécialisés pour gérer les plates-formes disparates et les organisations de services installées. Cela nécessite généralement une équipe ou un membre de l’équipe dédié pour gérer et s’assurer que les choses se passent bien.

Plus important encore, la plupart des organisations suivent aujourd’hui le principe de protection en couches : aucun outil n’est efficace à 100 %, les redondances sont donc cruciales en cas d’échec.

En pratique, cela signifie que la plupart des organisations auront plusieurs (sinon tous) des outils suivants installés :

  • Antivirus de nouvelle génération (NGAV)
  • Protection des terminaux (EPP)
  • Détection et réponse des points finaux (EDR)
  • Analyse du comportement des utilisateurs et des entités (UEBA)
  • Analyse du trafic réseau (NTA)
  • Protection des e-mails
  • Technologie de tromperie
  • Agent de sécurité d’accès au cloud (CASB)

Cela signifie également que pour la plupart des organisations, le volume de données, d’alertes et de signaux produits quotidiennement est une préoccupation majeure. La question suivante est donc de savoir comment les organisations gèrent ces montagnes d’alertes provenant de sources disparates ?

La réponse consiste généralement à utiliser une plate-forme de gestion des informations et des événements de sécurité (SIEM), qui peut centraliser et harmoniser les différentes alertes et signaux que la plupart des outils de cybersécurité produisent dans un emplacement unique.

Cependant, il s’agit plus d’un outil d’organisation que d’un moyen de réduire le nombre d’alertes. De plus, cela ajoute également aux ressources et aux coûts financiers d’une pile de sécurité, et cela nécessite toujours une intervention manuelle en permanence.

L’automatisation, mais à quel prix ?

Pour contourner ce problème, les entreprises se tournent vers les outils d’orchestration, d’automatisation et de réponse de la sécurité (SOAR). Les plates-formes SOAR peuvent automatiser des parties substantielles du processus de réponse aux incidents, y compris la correction et une partie de l’enquête.

Cependant, ils sont chers, nécessitent toujours une gestion manuelle et ne sont pas toujours une option viable.

Comment les XDR peuvent vous aider

Pour les organisations allégées, la création d’une pile de sécurité importante, multicouche et complexe peut produire plus de travail qu’elle n’en supprime. La gestion, la formation, la maintenance régulière et les mises à jour peuvent prendre une grande partie du temps précieux d’une équipe de sécurité.

La vraie réponse n’est donc pas d’aller plus loin, mais plus flexible – et c’est là qu’intervient la détection et la réponse étendues (XDR).

Au lieu de plusieurs couches et affichages, les entreprises peuvent se concentrer sur une seule fenêtre et réduire leurs efforts de maintenance, de gestion et de mise à jour.

Les XDR y parviennent généralement avec trois caractéristiques principales :

  • Prévention et détection : L’un des principaux avantages offerts par un XDR est qu’il peut réellement réduire et gérer le volume d’alertes qu’une organisation doit passer au crible. Les XDR incluent un grand nombre (et dans certains cas tous) de ces outils de manière native. Ceci est bénéfique de deux manières. Premièrement, cela signifie que tous les signaux et données sont standardisés et déjà intégrés. Cela facilite leur traitement, crée une méthode de tri et d’enquête plus fiable et les garde sous contrôle. Deuxièmement, il peut réduire le nombre de faux positifs et fournir une réponse beaucoup plus rapide puisque l’outil qui effectue la détection est le même que celui qui répond à une menace potentielle.
  • Réponse automatisée : Un autre différenciateur clé pour les XDR est qu’ils peuvent automatiser une grande partie des efforts de cybersécurité d’une organisation de manière immédiate. En incluant la détection, la protection des terminaux et l’analyse du réseau, les XDR peuvent réagir plus rapidement que les piles non centralisées et obtenir la bonne réponse plus souvent. Ils offrent également une gamme beaucoup plus large de réponses et d’outils de remédiation.
  • Détection et réponse gérées (MDR) : Enfin, la plupart des XDR offriront un service MDR pour aider les organisations à gérer de nombreuses tâches qui ne peuvent pas être automatisées. Bien que de nombreux fournisseurs facturent ce service, le simple fait de l’inclure dans une offre XDR signifie que les équipes peuvent hiérarchiser leurs ressources limitées dans le domaine le plus impactant. Les MDR peuvent également aider à combler les lacunes en matière de ressources et de connaissances, en offrant une défense plus complète et plus robuste.

Vous pouvez en savoir plus sur la façon dont les XDR peuvent aider les organisations obtenir une meilleure sécurité sur un budget ici.



Leave a Reply