Sécurité du Cloud

5 points clés pour une stratégie XDR efficace !

5 points clés pour une stratégie XDR efficace !
Par
Yann Fareau

L'article rédigé ci-dessous est un résumé du webinaire que j'ai animé le 9 Novembre dernier au sujet du "Hype Cycle for Security Operations 2022".

Quel est le problème auquel les SOC tentent de répondre ?

"Gartner expects that there will be an increasingly diverse set of exposures and risks that organizations need to gain better visibility and control over… Security operations technologies and concepts must enable this greater visibility and control … and faster response that works cohesively across multiple vendor solutions to reduce risks for businesses. (1)” (source Gartner)

Au travers de multiples discussions avec nos clients et prospects, la phrase suivante nous semble bien résumer le problème "We don’t know where we are compromised right now.” (2)

Avant d'approfondir les facteurs clefs pour une stratégie XDR efficace, je vais au préalable revenir sur plusieurs termes largement utilisés sur le marché : XDR, SOAR ou TDR ou OpenXDR

XDR, EDR, NDR... Quel est le besoin avant de choisir l'acronyme ?

Les acronymes utilisés par la communauté sont multiples dans le domaine de la sécurité opérationnelles. Le Hype Cycle du Gartner montre la maturité de chacun des "DR" (Detection and Response) mais surtout rappelle les besoins des organisations auxquels ces solutions tentent de répondre.

No alt text provided for this image
(Source Gartner)

“Security operations technologies and services defend IT systems from attack by identifying threats and exposure to vulnerabilities. The entries included in this Hype Cycle aim to help security and risk management leaders strategize and deliver effective response and remediation.” (Source Gartner) (3)

Quant à la définition de XDR issue de Wkipedia "Extended detection and response (XDR) collects threat data from previously siloed security tools across an organization’s technology stack…to rapidly and efficiently hunt and eliminate security threats across multiple domains from one unified solution.” (4)

Si on compare celle de l'XDR à celle du SOAR " .. as solutions that combine incident response, orchestration and automation, and threat intelligence (TI) management capabilities in a single solution. SOAR tools can be leveraged for many security operations tasks, such as document and implement processes; support security incident management; apply machine-based assistance to human security analysts and operators; and better operationalize the use of threat intelligence" (source Gartner), force est de constater des similitudes, même si en réalité sur le marché les éditeurs de SOAR mettent l'accent sur la capacité à construire un enchainement d'actions sur-mesure ("playbook") adapté au contexte de l'organisation (sur-mesure), à l'inverse d'un XDR qui embarque l'expertise sur le périmètre surveillé pour automatiser la réaction ou faciliter l'aide à la décision.

Tout cela pour indiquer que l'acronyme importe moins que le besoin auquel il répond.

Vous connaissez surement l'expression du XII eme siècle "Tous les chemins mènent à Rome", qui met l'accent sur la finalité et le besoin à adresser plutôt que les moyens.

Il est possible de faire un parallèle avec les acronymes "DR" dans le sens où ce sont des moyens qui visent à répondre aux besoins suivants tels qu'évoqués précédemment, à savoir :

  1. Une meilleure visibilité des différentes surfaces d'attaques,
  2. Une meilleure clarté quant aux informations traitées,
  3. Un meilleur contrôle pour automatiser au moins la detection et réaction,
  4. Une meilleure optimisation des investissements,
  5. Une meilleure expertise pour faire face aux alertes et incidents qui se présenteront.

Vous l'aurez compris les cinq points clefs ci-dessus sont ceux sur lequel focaliser les efforts et investissements pour une stratégie XDR efficace. Par la suite et par soucis de simplification j'utiliserais le terme de TDR (Threat Detection and Response) qui permet d'y associer les lettres souhaitées (X, C, N, M, IT, etc..).

Quels sont les 5 facteurs clefs d'une stratégie TDR efficace ?

Visibilité

Posons-nous la question de la connaissance qu'un attaquant peut avoir de votre organisation et des différentes surfaces d'attaque qu'il pourrait exploiter. Avec l'avènement du cloud public (IaaS / PaaS) et des applications clé en main pour délivrer un service (SaaS), de nouvelles surfaces attaques sont disponibles en sus des datacentres. Le télétravail a également mis en exergue l'obligation de renforcer la sécurité des terminaux, que cela soient des ordinateurs, des tablettes ou des téléphones portables.

Aujourd'hui, ce ne sont pas moins de 5 surfaces d'attaques sur lesquelles il est nécessaire d'avoir une meilleure visibilité :

  1. Datacentre (IT & OT),
  2. Terminaux
  3. Public Cloud ( saas / paas )
  4. Applications SaaS
  5. Identité

Toutes sont importantes et nous l'avons vu sur plusieurs campagnes dont Nobellium (aka Solarwinds), les attaquants pivotent de plus en plus d'un environnement vers un autre (Datacentre vers le Cloud), en s'octroyant de nouveaux privilèges offerts par les fournisseurs d'identités.

Ne pas couvrir une surface d'attaque, c'est prendre le risque de ne pas comprendre comment l'attaque s'est déroulée, mais encore plus grave de ne pas pouvoir en mesurer pleinement les impacts, en particulier si les attaquants ont réussi à masquer leur persistence dans les systèmes d'information.

Clarté

Au terme clarté viennent s'associer ceux de pertinence et de priorisation. Depuis le début des SOCs en entreprise, et cela ne date pas d'hier, je me souviens de mes premiers projets SIEM en 2002, avec des technologies qui aujourd'hui n'existent plus comme Tivoli Risk Manager (IBM), où déjà se posaient les problèmes du volume de données à traiter, de capacité de traitement et de pertinence des alertes remontées.

En 20 ans, beaucoup de nouvelles solutions sont arrivées sur la marché avec des approches différentes, en privilégiant soit la capacité à traiter un énorme volume de données, soit la capacité à délivrer des alertes d'une grande pertinence. Avec le Cloud il est aujourd'hui possible de proposer des solutions qui fusionnent toutes ces approches; par contre le budget nécessaire à son fonctionnement peut devenir un frein à son adoption, tellement le cout additionnel peut être significatif. Ce sont des ratio de 1 à 20 que j'ai pu constater entre des technologies vieillissantes de SIEM à demeure dont l'investissement materiel a deja été amorti depuis des années, et le coût des SIEM dans le cloud (license + puissance de traitement et stockage).

Revenons à l'objectif recherché à savoir identifier le plus rapidement qu'une compromission est en cours au sein de son système d'information, et de disposer de toutes les informations pour l'arrêter le plus rapidement possible. Il faut également veiller à ce que le remède ne soit pas pire que le mal, à savoir que les attaquants appliquent la politique de la terre brulée et détruisent tout sur leur passage.

Pour cela le volume de données à analyser n'est pas une finalité en soi, mais un moyen pour permettre d'identifier aux mieux ces attaques. La seule question, en réalité, à se poser est la suivante : " est ce le role d'un SIEM de collecter toutes les données pour les différentes surfaces d'attaques ? ".

Cela n'est pas le cas pour les terminaux, où l'EDR réalise cette mission et transmet seulement les alertes au SIEM. Alors pourquoi donner cette mission pour les autres surfaces d'attaques, quand vous avez des solutions de TDR qui existent (i.e NDR, CDR, ITDR, etc..). Il faudra toutefois de réfléchir à un lieu de stockage des logs de toutes ces solutions, à des fins réglementaires et d'investigation - aujourd'hui des lacs de données peuvent assurer cette mission, à demeure ou dans le cloud (i.e Azure Data Explorer, AWS Security Datalake) à des couts de stockage et de traitement bien plus faibles qu'un SIEM.

Les solutions de TDR embarquent une compréhension de la menace sur la surface d'attaque concernée, avec des algorithmes dédiés pour les détecter, là ou des solutions plus "génériques", comme un SIEM, risquent de générer un très mauvais ratio signal/bruit (i.e nombreux faux positifs)

Par contre, le SIEM reste pertinent dans un stratégie XDR pour centraliser cette alerte, automatiser la réponse avec la composante SOAR, et collecter des données d'applications qui sont spécifiques aux métiers de l'organisation et pour lesquelles il est peu probable que des solutions de sécurité se développent.

Contrôle

Au delà de l'information à traiter, le point essentiel est la capacité à réduire au maximum la gravité d'une attaque. Cela passe par la capacité à détecter au plus tôt ( MTTD : Mean Time to Detect), et à répondre le plus rapidement pour minimiser l'impact de cette attaque (MTTR : Mean Time to Respond). J'attire votre attention sur l'acronyme MTTR où le R peut être remplacé par Respond, Repair, Recover, Resolve montrant bien que la réponse peut être multiple et qu'il est nécessaire au préalable de qualifier ce que l'on mesure et s'assurer que cela sera effectivement mesuré.

Ces deux indicateurs ne sont pas les seuls à considerer dans un SOC et pour une stratégie TDR efficace, mais ils ont le mérite de savoir si le dispositif de défense en place est adapté par rapport aux risques à adresser. Ils participent également à l'amélioration des processus en automatisant la détection et la réaction sur les incidents qui impactent le plus l'organisation.

Optimisation

Je ne vais pas ouvrir les discussions sur un juste "budget" pour la cybersécurité d'une organisation car cela peut varier grandement au sein d'un même secteur, en fonction de la compréhension des risques et/ ou de l'appétence aux risques des dirigeants, du vécu de l'organisation quant à une crise liée à une attaque, qui a impacté plus ou moins fortement cette dernière. Pour autant, il y a des tentatives pour obtenir des moyennes issues de sondage auprès de DSI et ou RSSI, il a été évoqué entre 5 à 10% du budget IT, voire plus. Malheureusement ces données sont parcellaires avec de multiples zones grises; pas de prise en compte du shadow IT qui s'est développé avec la consommation d'application SaaS ou à l'inverse des activités qui peuvent intégrer une composante sécurité qui ne sont pas valorisées comme telles.

A contrario, il est bon de savoir que les dépenses en cybersécurité continuent de croitre chaque année à un rythme supérieur à 12% tous secteurs confondus, malgré le contexte économique.

Pour autant, et cela est plus que légitime, les organisations attendent que le ratio investissement/bénéfices soit le plus intéressant possible. A savoir quels sont les technologies et services à déployer qui permettraient la meilleure réduction de ces risques majeurs et cela en intégrant le paramètre "temps"( obtention de bénéfices sans devoir attendre des années).

Quelques questions interessantes à se poser en fonction du contexte afin de construire une stratégie XDR efficace et optimiser l'investissement :

  • Faut-il attendre que les solutions XDR arrivent à maturité (5 à 10 ans selon le Gartner) ou investir dans des solutions et services qui arrivent à maturité dans les 2 prochaines années et garantissent une intégration et intéropérabilité entre elles (ie EDR, NDR/CDR, MDR) ?
  • Faut-il completer dès à présent votre stratégie Zero Trust, qui prendra des années à se finaliser, par un renforcement de la détection sur l'identité, compte tenu de son rôle prépondérant dans la consommation des services cloud ?

L'association d'initiatives long terme qui transformeront profondément la niveau de maturité de l'organisation avec des initiatives court terme qui permettent d'éviter que l'organisation reste trop longtemps exposée à de nouvelles menaces est probablement le pari gagnant.

Expertise

La pénurie de ressources dans le secteur de la Cybersécurité est flagrante partout dans le Monde. Une étude en 2020 évoquait plus de 4 millions de postes vacants, dont plus de 121.000 rien qu'en France. Ce chiffre ne diminue pas en 2022 malgré de multiples initiatives publiques et/ou privées.

C'est probablement une des raisons pour lesquelles le Gartner, dans ses prédictions présentées cette année, considère qu'à l'horizon 2025, plus de 50% des organisations auront souscrit à des services #MDR ( Managed Detection and Response), à savoir des services managés dédiés sur des solutions TDR, comme l'EDR, le NDR ou le CDR. Beaucoup d'éditeurs, dont Vectra AI propose deja ce service en complement des services délivrés par des MSSP (Managed Security Service Provider).

Il est à prévoir à l'avenir une collaboration de plus en plus étroite entre les organisations, les éditeurs et les fournisseurs de service pour garantir une continuité du service et une qualité de détection et réaction à la hauteur des enjeux.

Conclusion

En résumé une stratégie XDR ou TDR efficace passe par une définition claire des objectifs recherchés, ainsi que de la déclinaison des cinq facteurs clefs de succès suivants :

  1. Visibilité sur les différentes surfaces d'attaques,
  2. Clarté des informations traitées,
  3. Contrôle pour automatiser au moins la detection et réaction,
  4. Optimisation des investissements,
  5. Expertise pour faire face aux alertes et incidents qui se présenteront.

Concernant les choix technologiques, ils devront se porter sur des solutions qui apporteront de vraies capacités de détection et reaction sur les cinq surfaces d'attaques, avec une forte intégration et automatisation. Cela se signifie pas choisir un éditeur unique mais une ou des plateformes dont l'intégration est confirmée.

Merci à Jean-Paul Kerouanton, et Claire Loffler pour leurs aides à la rédaction de cet article.

Traduction :

(1) Gartner s'attend à ce qu'il y ait une augmentation de la surface d'attaque et des risques sur lesquels les organisations doivent avoir une meilleure visibilité et un meilleur contrôle... Les technologies de sécurité opérationnelle doivent permettre cette meilleure visibilité et ce meilleur contrôle... et une réponse plus rapide qui fonctionne de manière cohérente à travers les solutions de plusieurs fournisseurs afin de réduire les risques pour les entreprises.

(2) Nous ne savons pas où nous sommes compromis en ce moment

(3) Les technologies et services de sécurité opérationnelle défendent les systèmes informatiques contre les attaques en identifiant les menaces et l'exposition aux vulnérabilités. Les informations partagées dans ce Hype Cycle visent à aider les responsables de la sécurité et de la gestion des risques à élaborer des stratégies et à fournir des réponses et des mesures correctives efficaces.

(4)  Il recueille les données relatives aux menaces à partir d'outils de sécurité auparavant cloisonnés dans le portfolio de l'organisation... afin de detecter et d'éliminer rapidement et efficacement les menaces de sécurité dans plusieurs domaines à partir d'une solution unifiée.

Partager sur:
BESOIN DE CONSEIL POUR 
OPTIMISER VOTRE SOC ?

Parce que votre sécurité compte pour nous, notre équipe d'experts vous conseille gratuitement et sans engagement.
J'ai besoin de conseil
Testez la plateforme de Vectra

Rien de plus simple que de tester la plateforme pour comprendre ses bénéfices pour votre entreprise.
Tester gratuitement
Partager L'article sur:
Ressources complémentaires

Découvrez la liste des menaces les plus communes qui surviennent dans les applications Cloud de Microsoft Office 365.

Confrontées à des menaces de plus en plus sophistiquées, les équipes de sécurité ont besoin d'une visibilité immédiate sur les cybermenaces qui pèsent sur leurs environnements.

Une chose est sûre, en matière de lutte contre les ransomwares, la réactivité et la rapidité d'intervention sont fondamentales.

Notre équipe est à votre écoute
Contactez-nousDemandez une démo