On entend parler tous les jours de ces nouvelles technologies, mais est-on bien au fait de leurs différences, complémentarités ? Faisons le point.
Les forces et les avantages d’un EDR.
L’EDR, ou Endpoint Detection and Response, collecte, analyse aux niveaux des terminaux les déviances comportementales susceptibles de représenter une menace pour le endpoint, et donc potentiellement pour le système d’information auquel il est connecté.
Anton Chuvakin de la société Gartner [1] définit l’EDR comme « une catégorie d’outils et de solutions qui mettent l’accent sur la détection d’activités suspectes directement sur les hôtes du système d’information. »
Plus simplement, l’EDR est une nouvelle génération d’anti-malware, ne s’appuyant plus uniquement sur des systèmes de signatures pour effectuer une détection des comportements malveillants. L’EDR ajoute des capacités d’analyse comportementale des processus afin d’en déterminer les déviances.
Pour une demande de démo gratuite :
XDR : « vers l’infini et au-delà » !
Le XDR (eXtended Detection Response) est l’évolution, l’eXtension de l’EDR.
Et cette évolution se fait sur plusieurs axes.
Selon Gartner : « XDR est une technologie fournie par le cloud comprenant des solutions multipoints et des analyses avancées pour corréler les alertes provenant de plusieurs sources en incidents provenant de signaux individuels plus faibles afin de créer des détections plus précises. Il vise à réduire l’étalement des produits, la fatigue des alertes, les défis d’intégration et les dépenses opérationnelles, et séduira en particulier les équipes d’opérations de sécurité qui ont des difficultés à gérer un portefeuille de solutions de pointe ou à tirer parti d’une solution SIEM ou SOAR. »[2]
Si l’EDR détecte au niveau des terminaux, le XDR va au-delà. Il est capable de collecter et détecter les activités déviantes et potentiellement malveillantes sur des équipements comme les serveurs, le cloud, les réseaux…
Mais au-delà de l’éventail de sources beaucoup plus large, le XDR apporte des fonctionnalités élaborées permettant, par exemple, d’augmenter le niveau de contextualisation en se connectant à la CTI, d’apporter une capacité plus importante d’anticipation en croisant les informations techniques détectées avec du contenu externe, d’affiner les possibilités d’automatisation de la réponse en donnant une granularité encore plus fine à l’intervention.
Pour une définition complète, c’est par ici : https://tehtris.com/fr/blog/glossaire/open-xdr
Pourquoi choisir les solutions TEHTRIS ?
La technologie XDR de TEHTRIS, pionnière et unique, permet de centraliser et de consolider les données collectées par les différents capteurs et sondes déployés dans un système d’information.
La spécificité de la plateforme TEHTRIS est sa capacité à offrir une approche holistique de la détection. Tous les modules développés par TEHTRIS sont intégrés à la plateforme : SIEM, EDR, EPP, MTD, DNS FW, NTA. Ces modules, interconnectés et complémentaires, apportent à notre technologie XDR une capacité unique d’analyse et de contextualisation. Mais la puissance de la plateforme XDR de TEHTRIS ne s’arrête pas là. En effet, nous l’avons développé dans une optique TEHTRIS Open XDR Platform, c’est-à-dire qu’elle a la capacité également d’intégrer des solutions tierces en tant que modules complémentaires de détection et de contextualisation.
D’immenses capacités pour une protection concrète.
Concrètement, si TEHTRIS détecte un binaire étrange et caché, la plateforme va l’analyser. S’il est connu, il le neutralisera. S’il est inconnu ou douteux, il demandera à notre SOAR (le « chef d’orchestre » de la plateforme) de regarder notre CTI (Cyber Threat Intelligence) pour faire toutes les analyses (antivirus, sandbox, IA) pour décider si c’est le cas d’un programme légitime ou non. Si ça ne l’est pas, la plateforme arrêtera et détruira la menace automatiquement et immédiatement. La TEHTRIS XDR Platform a également la capacité de laisser les équipes de sécurité créer leurs propres tableaux de bord adaptés au reporting organisationnel.
Intérêt de la technologie XDR
Toutes les technologies ne se valent pas.
Il est essentiel de disposer d’outils qui permettent d’avoir une vision holistique de l’activité sur les réseaux, les systèmes, le cloud, mais aussi de protéger simultanément les postes de travail, les serveurs, les réseaux … Ils doivent également permettre de détecter des menaces et comportements suspects toujours plus avancés, en capitalisant sur l’intelligence artificielle et ses algorithmes, sur les bases de données internationales, et sur une plateforme comme TEHTRIS XDR qui agit efficacement en temps réel sur les attaques sans intervention de l’humain. L’automatisation que permet cette technologie est un vrai plus pour les analystes qui vont gagner du temps, et pouvoir se concentrer sur des taches plus importantes, l’objectif étant d’augmenter l’expérience utilisateur, de réduire le temps de détection et réaction aux attaques. Les équipes de sécurité pourront désormais visualiser en un endroit l’ensemble des alertes remontées par les différentes solutions auxquelles ils ont souscrit, à travers la TEHTRIS Open XDR Platform et grâce à la connexion d’APIs.
L’apport du renseignement dans notre TEHTRIS XDR Platform va permettre d’ajouter du contenu de la matière, qui elle-même va alimenter notre IA, c’est une boucle vertueuse. Cet apport d’information provenant de multi canaux permet de mettre en place des protections contre une grande variété d’attaques.
Pour plus de précisions, voyez notre article dédié à la plateforme XDR de TEHTRIS : https://tehtris.com/fr/blog/definition-open-xdr
[1] Gartner “Named Endpoint Threat Detection & Response-Anton Chuvakin”26 juillet 2013
[2] Craig Lawson, Peter Firstbrook, Paul Webber -Market Guide for Extended Detection and Response -Published 8 November 2021