Comparatif des solutions XDR et EDR - Principales similitudes et différences

La pandémie a eu un impact considérable sur la cybersécurité. Partout à travers le monde, les entreprises ont investi dans des technologies de pointe pour renforcer leur protection. Elles ont notamment opté pour des solutions cloud de sécurisation des endpoints, pour lesquelles la demande ne cesse de croître.

La sécurisation des endpoints (c'est-à-dire des postes de travail, des appareils mobiles et des serveurs) constitue le socle d'une stratégie efficace de sécurité. Ce volet de protection, essentiel pour les entreprises de toutes tailles, combine généralement une solution EPP (Endpoint Protection) et une solution EDR (Endpoint Detection & Response). Pour de nombreuses entreprises, ce type de configuration s'est imposé comme l'évolution naturelle de leur protection traditionnelle. Jusqu’alors, les entreprises étaient dotées d’antivirus hébergés localement et devaient assurer une réponse face à un volume croissant de menaces avancées. D'après Gartner®, « d'ici la fin 2025, plus de 60 % des entreprises auront remplacé leurs anciens produits antivirus par des solutions combinées EPP et EDR qui associent prévention, détection et de réponse » (1).

Mais qu'en est-t-il de l’XDR (Extended Detection & Response) ? S'agit-il d’une nouvelle approche de sécurisation des endpoints ? Cette approche finira-t-elle par supplanter à son tour la combinaison EDR + EPP ? Ou s'agit-il simplement d'un nouvel acronyme accrocheur utilisés par les fournisseurs pour promouvoir la même technologie ?

Qu'est-ce que le XDR ?

Le terme XDR a été inventé en 2018 par Nik Zur, à l'occasion d'une conférence réunissant plusieurs acteurs du secteur. L'idée est la suivante : la détection et la réponse doivent aller au-delà du endpoint pour intégrer les données issues d'autres composants, comme les passerelles cloud de messagerie sécurisées et les solutions de gestion des identités et des accès (IAM).

L'XDR répond à une demande en faveur de solutions de sécurité intégrées et holistiques. Selon les recherches de F-Secure, 82 % des entreprises souhaitent une solution de cybersécurité tout-en-un (2). Forrester divise les solutions XDR en deux catégories : hybrides et natives. Les plateformes XDR hybrides intègrent les données et la télémétrie de solutions tierces, tandis que les plateformes XDR natives intègrent uniquement les solutions d'un même fournisseur (3).

En ce sens, l’XDR n'est pas vraiment une nouvelle solution, mais plutôt le regroupement de solutions existantes qui, jusqu'alors, n'opéraient pas en synergie. L'approche XDR consiste, en principe, à miser sur une solution unique fournissant des capacités de détection améliorées, pour :

  1. Corréler les données de mesure (télémétrie) issues de plusieurs sources.
  2. Travailler sur un ensemble unique de données pour enquêter plus efficacement.
  3. Permettre un plus large éventail d'actions de réponse comparé à un système EDR seul.

En corrélant les données issues de différentes sources, il est possible d'établir des liens entre plusieurs indicateurs d'attaque (IOA) ou indicateurs de compromission (IOC). Ces corrélations permettent de repérer des attaques qui passeraient facilement inaperçues si chaque indicateur était étudié individuellement.

Certains diront que les SIEM (solutions de gestion des informations et des événements de sécurité) ont précisément pour fonction d’accueillir le stockage d'événements provenant de multiples sources de données. En réalité, les solutions SIEM sont conçues pour stocker les logs et répondre aux cas d'utilisation de détection de base, souvent pour satisfaire aux exigences de conformité, plus que pour détecter des attaques sophistiquées. Bien souvent, ces solutions SIEM sont consommatrices de ressources et s'avèrent difficiles à gérer, notamment lorsque le nombre de sources de données devient très important.

Les solutions XDR s'appuient sur l'EDR et sont conçues pour la détection. Elles peuvent fournir des résultats immédiats lorsqu’elles sont déployées dans un nouvel environnement. L’XDR présente des capacités de réponse avancées, contrairement aux solutions SIEM, qui sont uniquement axées sur la détection.

Comparé aux simples solutions EDR, les solutions XDR prennent en charge davantage de sources de données de mesure. Pour autant, elles ne constituent pas des solutions du type « Envoyez-moi n'importe quelles données ! », comme le sont, en quelque sorte, les SIEM. Les solutions XDR les plus efficaces se concentrent sur les sources de données présentant une véritable valeur ajoutée pour la détection d'attaques sérieuses.

Pour faire simple, les solutions SIEM ne sont pas conçues pour aller plus loin dans la détection et la réponse, et les solutions XDR ne visent pas à remplacer les SIEM.

Qu'est-ce que l'EDR ?

Comme nous l'avons mentionné, l’EDR est l'abréviation de Endpoint Detection and Response. Il s'agit d'une technologie déployée sur tous les endpoints du réseau d'une entreprise. La détection EDR fonctionne en capturant les événements relatifs à la sécurité (exécutions de processus, connexions réseau, etc. ) qui ont lieu sur les endpoints. Les données qui en résultent peuvent être analysées afin de détecter des comportements malveillants ou inhabituels, qui peuvent ensuite être stoppés via des actions de réponse (interruptions de processus, suppression de fichiers, exclusion du réseau, etc.).

Contrairement à l'EPP, qui constitue une couche préventive automatisée destinée à bloquer les activités malveillantes évidentes, l'EDR est une ligne arrière de défense qui permet aux experts humains de neutraliser les attaques capables de contourner les contrôles préventifs, avant qu'elles ne causent de réels dommages.

Pour connaître les principales caractéristiques d'une solution EDR et pour savoir pourquoi les entreprises ont besoin de cette approche défensive, consultez notre article 7 bonnes raisons d’opter pour une solution EDR.

Similitudes et différences entre EDR et XDR

Les solutions EDR et XDR utilisent toutes deux des méthodes d'analyse comportementale et de renseignements sur les menaces pour détecter et répondre aux menaces avancées, avec comme principale source de détection les endpoints.

Elles peuvent ainsi effectuer des tâches de sécurité essentielles comme :

  • Le monitoring en temps réel - Les solutions EDR et XDR collectent et analysent en permanence des données pour détecter les comportements inhabituels ou malveillants. La collecte unifiée des données permet aux analystes en cybersécurité de mener plus efficacement leurs travaux de surveillance du réseau.
  • Alerte et réponse - Les solutions EDR et XDR sophistiquées génèrent un faible nombre de faux positifs, ce qui limite la fatigue liée aux alertes et permet d'assurer une réponse plus efficace face aux menaces réelles.
  • Recherche et investigation proactives des menaces - Les solutions EDR et XDR permettent aux analystes de sécurité d'aller au-delà des alertes automatiques et de rechercher les activités de piratage les plus subtiles qui n'ont déclenché aucune alerte.

Les différences entre les solutions EDR et XDR varient. Dans certains cas, les solutions EDR sont simplement rebaptisées XDR, même s'il n'existe aucune différence concrète... Seules quelques solutions XDR offrent une véritable valeur ajoutée. Il est donc important de procéder à un examen approfondi des différentes solutions.

Une solution XDR digne d'intérêt prend en charge plus de sources de mesure et assure des intégrations de réponse essentielles. Pour mieux détecter les attaques, recueillir davantage de données ne suffit pas. Il faut recueillir les bonnes données, et développer des capacités de réponse efficaces.

Les recherches F-Secure montrent que 22% des intrusions informatiques font suite à des attaques de phishing (4). En associant l'EDR et la sécurisation de la messagerie, il est possible de détecter et de répondre efficacement à ce type d’attaques :

  1. En détectant le piratage initial d’un poste de travail avec la solution EDR.
  2. En identifiant l'e-mail de phishing comme vecteur d'infection.
  3. En utilisant les données recueillies par la solution de sécurisation de la messagerie, pour identifier les autres utilisateurs qui ont reçu le même e-mail de phishing mais ne l'ont pas encore ouvert.
  4. Le courriel peut alors être mis en quarantaine avant que d'autres infections ne se produisent.

Comme le montre l'exemple ci-dessus, il existe trois différences fondamentales entre l'EDR et l'XDR :

  EDR XDR
Couverture L'approche EDR utilise des agents ou des sondes au niveau des endpoints. Généralement, l'EDR fonctionne de manière intégrée avec la solution EPP, également axée sur les endpoints. L'approche XDR vise à optimiser les performances de détection et de réponse en misant sur la synergie entre diverses sources de télémétrie, et non plus seulement les endpoints. Dans les environnements informatiques actuels, la messagerie et les identités sont les éléments les plus précieux à couvrir.
Télémétrie L'EDR se concentre uniquement sur les endpoints, qui constituent la source de télémétrie la plus riche. Cette approche ne s'intéresse pas aux autres sources de télémétrie. L'XDR a pour objectif de recueillir les données de mesure issues de plusieurs sources. Les corrélations aident à obtenir une visibilité allant au-delà de celle offerte par les seuls endpoints.
Réponse L'EDR permet d'enquêter et de répondre pour stopper les attaques identifiées sur les endpoints et n'ayant pas pu être bloquées par la solution EPP en place. L'XDR vise à porter le champ de la réponse au-delà des endpoints, et à automatiser les activités d'investigation et de réponse, comme dans l'exemple de phishing illustré précédemment.

Quelle est la meilleure solution de détection et de réponse pour votre entreprise ?

Selon le rapport Cost of a Data Breach (5) de Ponemon, deux tiers des entreprises ont subi une violation de données en 2020. Les entreprises multimillionnaires dotées d'une sécurité de pointe ne sont pas épargnées. Le simple fait d'ajouter plus d'outils ou de sources de mesures ne vous rendra pas imperméable aux cyberattaques. Si vous possédez trop d'outils, cela pourrait même complexifier le travail de vos experts et les empêcher de protéger efficacement votre environnement informatique. C'est en misant à la fois sur de solides mesures préventives et sur un système EDR efficace que vous parviendrez à réduire le risque d'intrusion informatique. En menant une détection et une réponse rapide, vous pourrez limiter l'impact d'éventuelles attaques.

Une fois vos solutions EPP et EDR bien en place, vous pourrez aller plus loin en adoptant une approche XDR. Une solution étendue de détection et de réponse (XDR) vous fournira des capacités supérieures à celles d'une solution EDR seule : elle permettra à votre organisation de se défendre contre des vecteurs d'attaque supplémentaires et de traiter les intrusions plus efficacement. Méfiez-vous des fournisseurs qui tentent de coupler l'EDR à des technologies de sécurité traditionnelles on-site comme les firewalls et les passerelles de messagerie :  ces technologies traditionnelles ont été abandonnées pour une raison précise et toute solution XDR élaborée sur un tel socle ne pourra pas offrir les avantages d'une véritable solution XDR intégrée et cloud-native.

Enfin, n'oubliez pas l'importance de la sensibilisation du personnel à la sécurité : les utilisateurs peuvent se laisser piéger par les hackers, comme dans le cas d'attaques de phishing soigneusement élaborées. Les technologies de pointe pourront néanmoins vous aider à détecter les attaques et à y répondre rapidement, pour minimiser leur impact sur votre organisation.

Consultez notre article sur les 10 éléments à prendre en compte avant d'acquérir une solution EDR, pour choisir les solutions EDR et XDR les plus adaptées à vos besoins.

Références

[1] Gartner, « Competitive Landscape : Endpoint Protection Platforms », Rustam Malik, 18 février 2021. GARTNER est une marque déposée et une marque de service de Gartner, Inc. et/ou de ses filiales aux États-Unis et dans le monde entier, et est utilisée ici avec autorisation.
[2] Enquête F-Secure Global B2B Market Research menée auprès de 2750 décideurs et influenceurs en sécurité informatique/réseau, 2020.
[3] Forrester, « Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR, Allie Mellen », 28 avril 2021.
[4] Verizon, Rapport « Data Breach Investigations », 2020.
[5] Ponemon, IBM, « Global Cost of a Data Breach Study », 2020.