Manque d’investigations unifiées, manque d’anticipation, manque d’efficacité… Trois problèmes soulevés par nombre de solutions de cybersécurité spécifiques. Le XDR pallie ces trois problèmes. Explications d’Alexandre Pierrin-Neron, Cybereason.

° Les analystes sont unanimes : l’avenir de XDR (Extended Detection and Response) s’annonce prometteur. Certaions vont jusqu’à avancer un « changement de paradigme ». Pourquoi selon vous ?

« Le XDR concrétise une nouvelle étape de la cybersécurité. La troisième, après les antivirus et les NGAV (Next-Generation Anti-Virus). Initialement, on parlait d’EDR (Endpoint Detection & Response), aujourd’hui de XDR. Cybereason XDR peut fonctionner à grande vitesse dans toute l’entreprise -y compris auprès des points de terminaison, des réseaux, des identités, le cloud et des espaces de travail. Et ça, c’est unique !

« Notre force, chez Cybereason, est d’automatiser la prévention, la détection et la réponse aux cyberattaques tout en guidant les analystes à travers les opérations de sécurité et la réponse aux incidents. Ce qui permet une chasse proactive des menaces. D’ailleurs, même si ce n’est qu’une image, nous tenons à nous présenter comme des chasseurs ! La mission de l’entreprise le précise : inverser le rapport de force entre l’attaquant et l’attaqué, passer du réactif au proactif. Nous le faisons aussi bien pour des états nations, de très grandes entreprises et des plus petites sur base de leur nombre de endpoints. »

MalOps, le différenciateur

° L’offre est vaste. Nombre d’acteurs se disent spécialistes du XDR. Comment Cybereason se différencie-t-elle ?

« Sur un plan technologique, notre premier différenciateur est le MalOp, (Malicious Operations), qui concrétise notre approche centrée sur les opérations, présentant l’image complète d’une attaque plutôt que de submerger les analystes avec des alertes au coup par coup.

« Un MalOp fournit les informations critiques nécessaires pour observer, orienter, décider et agir rapidement. En surface, il y a une attention à la brièveté. Cependant, ce n’est que le début des informations que nous pouvons découvrir lorsque nous approfondissons un MalOp. Par exemple, l’arborescence des attaques donne de nombreux détails sur chaque processus impliqué et montre exactement ce qui s’est passé avant et après la découverte de l’activité malveillante. »

° Quel en est le bénéfice sur le plan purement opérationnel ?

« Je serais tenté de dire que le MalOp transforme la vie quotidienne des analystes de sécurité, les rendant plus efficaces, moins sujets à l’épuisement professionnel. Dans un SOC, un agent peut gérer 25.000 endpoints ; avec notre solution, il en gère 200.000 ! On change la donne ! »

Une expérience unifiée

° N’est-ce pas, aussi, et d’une manière plus générale, une réponse au manque de ressources, à la pénurie de talents en cybersécurité ?

« Incontestablement. Un récent rapport publié par l’ISSA (Information Systems Security Association) et ESG (Enterprise Strategy Group), cabinet d’analyse du secteur, révèle qu’une charge de travail plus lourde, des postes vacants et l’épuisement professionnel font qu’il est de plus en plus difficile de recruter des experts de la cyber.

« Aujourd’hui, les experts de la sécurité ont plus de mal à départager les faux positifs des problèmes de sécurité légitimes contre lesquels ils doivent protéger l’entreprise. La tâche est très lourde. Je constate aussi qu’à mesure que les entreprises se développent, les solutions SIEM et SOAR peinent à évoluer et coûtent de plus en plus cher… Une solution XDR avancée fournit une expérience unifiée d’investigation et de réponse qui corrèle les informations de télémétrie sur les endpoints distants, les appareils mobiles, les plates-formes cloud et les applications afin d’anticiper, d’empêcher et de stopper les opérations malveillantes. »

° Une solution pour tout faire, est-ce réaliste ? Selon une enquête de Reliaquest, les entreprises emploient en moyenne 19 outils de sécurité différents… Ont-ils tous leur rôle ?

« Leur rôle, oui. Mais pour quelle efficacité ? Pour quelle productivité ? Selon la même source, 85 % des décideurs en sécurité interrogés disent déployer de nouvelles technologies plus rapidement qu’ils ne peuvent les utiliser de manière productive. Qu’en penser ?

« Une solution XDR avancée élimine les silos de données entre les appareils, les applications, les suites de productivité, les identités des utilisateurs et les déploiements cloud sur lesquels les attaquants s’appuient pour échapper à la détection. Cybereason XDR unifie les corrélations entre le réseau, les appareils et les identités en vue d’une détection et d’une réponse à la fois plus rapides et plus efficaces aux menaces, tout en offrant de nouvelles fonctions prédictives qui permettent aux équipes de défense d’anticiper la prochaine action d’un cybercriminel et de le bloquer de manière proactive. »

Gare au brouillard !

° Sachant qu’elles disposent d’un arsenal d’outils majoritairement conçus pour protéger des actifs spécifiques, les équipes IT ne sont-elles pas condamnées à une défense cloisonnée ? Autrement dit, une solution assurera la sécurité des charges de travail dans le cloud, tandis qu’une autre se limitera à prévenir les attaques sur les endpoints…

« Oui. Et comme l’on peut s’y attendre, ce type d’approche se traduit par une stratégie de défense qui traite chaque attaque comme un événement isolé distinct. Dans un paysage des menaces où les cybercriminels emploient une multitude de techniques et ciblent de nombreux utilisateurs et appareils en même temps, une telle vision laisse inévitablement les équipes dans le brouillard. »

° Ce brouillard n’est-il pas dû, aussi, à l’inadéquation de l’approche centrée sur les alertes ? La grande majorité des outils de sécurité traditionnels aujourd’hui disponibles sont centrés sur les alertes. Et trop, c’est trop !

« De fait, ces outils bombardent l’entreprise de notifications et signalent chaque activité suspecte dans le système sans vraiment offrir de renseignements utiles. Et c’est aux défenseurs qu’il incombe d’établir un lien entre chaque événement… Ce principe est, par nature, inefficace. Chaque événement exige une intervention manuelle, ce qui accroît les risques d’erreurs humaines et réduit considérablement la capacité de l’entreprise à évoluer en toute sécurité. Réagir à des attaques individuelles peut certes faire reculer un adversaire, mais il s’agit d’une solution temporaire.

« Qui plus est, la sécurisation d’infrastructures réseau complexes à l’aide d’une approche cloisonnée centrée sur les alertes laisse aux cybercriminels une marge de manœuvre suffisante pour s’enfoncer profondément dans le réseau. Toute tentative de détection, de suivi ou d’élimination d’une attaque devient alors pratiquement impossible. En traitant le symptôme et non la cause, les entreprises sont prises dans une spirale infernale. Elles consacrent chaque année plus d’argent à la sécurité… tout en ayant un train de retard sur les cybercriminels ! »

Réduire le MTTR…

° On ferait fausse route ?

« Cybereason propose un autre chemin. A savoir, via MalOp, une vue contextualisée du récit complet d’une attaque, corrélée sur tous les terminaux impactés, et cela sur un seul écran. C’est une avancée considérable. Au cœur de la technologie Cybereason se trouve Cross-Machine Correlation Engine, une plate-forme d’analyse de données très avancée. Ce système analyse une quantité massive de données qui  corrèle automatiquement et rapidement chaque détail des attaques à multiples facettes dans une vue complète.

« Cette analyse avancée et automatique augmente la vitesse et la précision des analystes en réduisant le bruit des alertes avec une déconstruction ciblée de l’opération globale. Avec toutes les informations pour cibler et répondre à une opération malveillante présentées de manière concise, les analystes sont en mesure de réduire considérablement leur temps moyen de réponse -le fameux MTTR. »

° Là, on est pleinement dans l’opérationnel…

« Oui. Détection et réponse sont centrées sur les opérations. Au lieu d’être alertés sur des événements individuels, les utilisateurs peuvent avoir instantanément la progression complète de l’attaque sur chaque appareil, identité d’utilisateur, application et déploiement cloud pour y mettre fin immédiatement. MalOp fournit des actions de réponse automatisées et guidées pour réduire les erreurs humaines, améliorer les compétences des analystes et obtenir un temps de réponse dix fois plus rapide que les solutions concurrentes.

« Enfin, la partie prédictive permet de prévoir le comportement de l’attaquant. Les défenseurs peuvent passer d’une posture centrée sur les alertes, qui demande beaucoup de travail, à un modèle prédictif centré sur les opérations. Grâce à des corrélations enrichies en contexte, Cybereason XDR identifie des signes subtils de comportement malveillant et prédit les prochaines étapes probables d’un attaquant afin d’anticiper et de bloquer les attaques de manière proactive. »

Une stratégie orientée sur les opérations

° Qui dit proactivité dit vitesse. Comment accélérer le processus ?

«… Par, justement, une approche centrée sur les opérations ! Laquelle permet d’automatiser un certain nombre de réponses afin d’accélérer encore le délai de résolution. De cette façon, les équipes de sécurité peuvent accorder davantage de temps à des initiatives de sécurité stratégiques moins chronophages qu’à la réponse aux alertes.

« J’ajouterais que les renseignements offerts ne sont utiles que s’ils sont exploitables. Les produits traditionnels ne sont hélas pas capables de les traiter et de les stocker, ni même de les rendre immédiatement accessibles à des fins d’enquête. En se privant des indicateurs clés d’une attaque potentielle, les entreprises se mettent en situation de vulnérabilité.

« L’adoption d’une stratégie centrée sur les opérations est essentielle si l’on veut accélérer la détection et la résolution, et ainsi consacrer davantage de temps et de ressources à des initiatives de sécurité plus efficaces. »

Propos recueillis par Alain de Fooz

(*) Alexandre Pierrin-Neron, Vice President – Benelux | Nordics | CEE, Cybereason