L'essor de la détection et de la réponse étendues (XDR) est à la fois une validation et une mise en cause de la technologie de gestion des informations et des événements de sécurité (SIEM) - la catégorie de marché historique associée à la détection globale des menaces, à l'investigation et à la réponse.
C'est une validation parce qu'elle souligne la thèse centrale selon laquelle l'agrégation de signaux multiples tout au long du cycle de vie de l'attaque est fondamentalement correcte. Mais c'est aussi un acte d'accusation, car l'émergence d'une deuxième catégorie de marché résolvant le même problème nous indique l'inefficacité de l'approche actuelle.
Il est clair que le marché a manifesté un vif intérêt, mais dans quelle mesure les promesses de la technologie XDR ne sont-elles que du battage médiatique ?
Les acheteurs qui veulent savoir ce qui les attend avant d'inviter un partenaire à la danse XDR seront bien avisés de reconnaître que presque tous les fournisseurs de l'espace XDR sont arrivés d'un marché adjacent - et qu'ils transporteront ce marché adjacent avec eux lorsqu'ils planteront leur drapeau XDR.
Les acheteurs doivent savoir que les vendeurs de produits XDR sont issus de quatre espaces principaux.
SIEM et XDR : transformation ou changement cosmétique ?
Les fournisseurs de solutions SIEM ont tout intérêt à changer de nom pour devenir des fournisseurs de solutions XDR. Dans le cas évident des petits acteurs qui n'ont pas la part de marché des grands, c'est l'occasion de pivoter vers la nouvelle tendance et d'essayer à nouveau.
Mais même pour les acteurs dominants, le changement de marque par rapport à la solution en place commence à avoir du sens lorsque l'on réalise que de nombreux déploiements de SIEM ne sont que des collecteurs de logs coûteux, et non des détecteurs de menaces.
L'incapacité à tenir les promesses de détection corrélée des menaces constitue une sorte d'albatros pour la réputation et l'essor de l'XDR offre l'opportunité d'une nouvelle vie - en particulier si le fournisseur a apporté des améliorations matérielles à la technologie sous-jacente.
Les acheteurs qui envisagent une solution XDR basée sur le SIEM doivent vraiment se demander si quelque chose a fondamentalement changé ou s'il s'agit simplement d'une nouvelle couche de peinture. Il y a une forte tendance à construire plutôt qu'à acheter lorsqu'on s'engage sur la voie de l'XDR avec un fournisseur de SIEM.
Pour les acheteurs disposant de ressources suffisantes, qui peuvent se permettre d'assumer les coûts indirects importants liés à l'exploitation de cette technologie ou qui ont des cas d'utilisation spécifiques non couverts par des solutions plus spécifiques, cette solution peut encore avoir du mérite.
L'influence de l'EDR sur l'XDR : une expansion au-delà des frontières traditionnelles
Compte tenu des motivations des fournisseurs de solutions de détection et de réponse (EDR) sur le site Endpoint et des analystes du secteur, il est compréhensible que la définition de XDR comme EDR++ ait de l'attrait.
Les entreprises de gestion des données électroniques continuent elles-mêmes à avoir besoin de trouver de la croissance pour apaiser les actionnaires et la disqualification de la concurrence au stade des exigences facilite la division de ce nouveau gâteau. Pendant ce temps, les analystes de l'industrie doivent apaiser les vendeurs SIEM en place et la création d'une catégorie XDR peut être un moyen temporaire de maintenir la paix entre les camps de l'EDR et du SIEM.
Alors que l'EDR fournit un signal utile pour un grand nombre de détections de menaces traditionnelles, le problème de la surpondération de l'EDR dans toute approche XDR devient évident si l'on considère qu'environ 70 % des actifs et des services de l'entreprise n'exécutent pas d'agent EDR. Si une entreprise hybride moderne est confrontée à des menaces sur cloud, l'identité, les applications SaaS et même les réseaux OT/IoT, prétendre que toutes les brèches impliquent la compromission d'une endpoint dotée d'un EDR est en retard d'une dizaine d'années.
Les acheteurs qui recherchent une solution XDR basée sur l'EDR doivent tenir compte de deux éléments : La performance EDR elle-même, et l'agrégation et la corrélation d'autres signaux. Une bonne performance EDR doit être une priorité, mais pas à l'exclusion d'un traitement convaincant de l'ensemble de l'écosystème des signaux.
Si l'image qui commence à se dessiner est celle d'un EDR et de quelque chose qui ressemble à un SIEM qui viennent d'être assemblés, votre sens de l'araignée devrait être en éveil et tous les conseils précédents aux acheteurs d'un XDR basé sur un SIEM s'appliquent.
Solutions XDR basées sur les services : L'élément humain
Ces personnes ont examiné les résultats que XDR se proposait d'atteindre et ont affirmé que si le prix est correct, le fait que ces résultats soient obtenus par la technologie ou par des personnes est secondaire.
Franchement, cela a beaucoup de sens et c'est l'une des raisons pour lesquelles, pour de nombreux acheteurs, une solution XDR peut être fournie en tant que service géré. Là où le bât blesse, c'est au niveau de l'exécution, et non de la thèse.
De nombreux acheteurs se souviendront de l'époque où leurs fournisseurs de solutions de sécurité gérées (MSSP) étaient incités à se transformer du jour au lendemain en fournisseurs de services de détection et de réponse gérés (MDR), sans que la qualité de leurs services ne soit améliorée de manière significative.
Les acheteurs qui optent pour une solution XDR basée sur les services avec un fournisseur compétent à un coût intéressant peuvent avoir beaucoup d'avantages devant eux - les fournisseurs de services peuvent faire des choses à une échelle qui n'est pas toujours possible pour une organisation de faire par elle-même.
Malheureusement, trouver un prestataire de services compétent n'est pas aussi simple que de consulter un quadrant magique et certains des acheteurs qui trouvent les capacités d'un prestataire de services attrayantes n'ont pas la maturité nécessaire pour mesurer efficacement la qualité des résultats.
Les acheteurs devraient passer à l'offensive et exiger de leurs fournisseurs qu'ils définissent clairement comment le risque sera atténué en termes quantifiables et qu'ils mettent en place des équipes rouges régulières sans préavis à titre de contrôle croisé.
L'approche du réseau, de l'identité et de Cloud en matière de XDR
Enfin, il existe une catégorie de fournisseurs dont les portefeuilles de plates-formes intègrent de multiples signaux de détection des menaces et qui reconnaissent que le tout est supérieur à la somme des parties.
détection et réponse aux incidents (NDR), Cloud Detection and Response (CDR), Identity Threat Detection and Response (ITDR), et même les anciens pare-feu de nouvelle génération (NGFW) qui utilisent des systèmes de détection d'intrusion (IDS) peuvent tous contribuer à la détection des menaces.
Cette catégorie tend à se démarquer le plus nettement de l'approche SIEM traditionnelle, car ces fournisseurs ont tendance à concevoir des systèmes de détection des menaces dans lesquels les données sous-jacentes et les analyses en continu sont étroitement liées.
Les acheteurs qui optent pour une solution XDR basée sur le réseau, l'identité et Cloud tendent à bénéficier d'avantages liés à une large visibilité, à la facilité d'utilisation et à la rentabilité.
Cela contraste avec le SIEM traditionnel, mais il y a un compromis à prendre en compte - alors que les cas d'utilisation les plus courants seront couverts, il peut y avoir des cas d'utilisation sur mesure ou à long terme qui sont hors du champ d'application. Si c'est votre cas, vous devrez peut-être en élaborer quelques-uns vous-même.
Pour certains acheteurs, cela signifie que le remplacement complet du SIEM n'est pas viable, même si de nombreux cas d'utilisation précédemment effectués dans le SIEM peuvent être transférés dans le XDR. En outre, il existe une réelle différence entre les écosystèmes fermés et ouverts.
Les acheteurs devraient rechercher un XDR ouvert et coopératif - le fait d'avoir besoin de l'ensemble de l'écosystème d'un fournisseur et d'un agent EDR de second ordre pour profiter des avantages du XDR devrait probablement être un facteur de rupture pour tout le monde.
Conclusion : La place du XDR dans l'avenir de la cybersécurité
Si ces éléments donnent une idée de ce que l'on peut attendre d'un voyage XDR, il reste encore beaucoup de chemin à parcourir avant que les arbitres ultimes - les acheteurs eux-mêmes - n'éclaircissent le sujet.
Néanmoins, malgré la confusion et les désaccords potentiels dans l'intervalle, il y a un point qui est une victoire pour tous ceux qui se soucient d'arrêter les menaces - la montée en puissance de XDR en tant que catégorie de marché indique un point important de maturité dans la poursuite de la résilience par le biais de la cybersécurité.
Elle indique que le dépassement des échecs coûteux de la sécurité axée sur la prévention est devenu monnaie courante. En fin de compte, tout le monde devrait s'en réjouir.
Découvrez comment la plateforme Vectra AI peut révolutionner votre stratégie XDR. Contactez-nous pour redéfinir la résilience et garder une longueur d'avance dans le domaine de la cybersécurité.