Présentation d'IBM Security QRadar XDR

Lorsqu'on leur a demandé de nommer les priorités commerciales qui stimuleraient les dépenses informatiques au cours des 12 prochains mois, plus de la moitié (47 %) des personnes interrogées dans le cadre de l'enquête ESG sur les intentions de dépenses technologiques en 2021 ont cité la cybersécurité. 1 Il s'agit d'une constatation importante. Les organisations ont besoin de procédures et de contrôles de cybersécurité solides comme base de la santé et de la rentabilité de l'entreprise à l'ère du cloud computing, de la transformation numérique et de l'assistance aux travailleurs à distance.

Étant donné le lien inextricable entre les entreprises, les technologies de l’information et la sécurité, il est raisonnable de supposer que les entreprises ont mis à jour leurs centres d’opérations de sécurité (SOC) pour identifier et réagir aux cybermenaces en temps réel. Cette hypothèse serait toutefois erronée : de nombreuses équipes SOC ne parviennent pas à suivre l’évolution des nouvelles menaces. Quel est l’état actuel de la détection et de la réponse aux menaces, et existe-t-il des avancées prometteuses dans un avenir proche ? Ce livre blanc conclut en affirmant :

• Les organisations ont une variété d'objectifs en matière de détection et de réponse aux menaces. Les objectifs de détection et de réponse aux menaces pour les équipes SOC incluent l'amélioration de la détection des menaces avancées, l'amélioration de l'automatisation des processus entourant les activités de correction et l'amélioration du temps de réponse aux incidents (IR). Ces objectifs indiquent que les tactiques actuelles sont inefficaces.
• Il existe plusieurs menaces à identifier et à contrer. Les professionnels de la détection et de la réponse aux menaces reconnaissent une multitude d'obstacles, notamment la complexité accrue des opérations de sécurité, les limites des ressources, une surface d'attaque croissante/évolutive, la dépendance à des produits de solutions ponctuelles non connectés et la difficulté d'analyse des données et de prise de décision. Ces défis ont une influence sur l'efficacité, l'efficience et la productivité des analystes des opérations de sécurité.
• La DR peut aider à identifier et à répondre aux menaces. À l'instar de l'architecture de la plateforme d'analyse et d'opérations de sécurité d'ESG (SOAPA), XDR (eXtended Detection and Response) s'est développée en tant qu'architecture d'opérations de sécurité commerciale. XDR a le potentiel d'augmenter la détection et la réponse aux menaces tout en mettant à jour les SOC, même si elle en est encore à ses débuts.
• Les meilleurs systèmes XDR doivent offrir des capacités de niveau entreprise. ESG estime que les systèmes XDR doivent offrir une couverture de réponse aux incidents sur des infrastructures informatiques hétérogènes, des analyses puissantes et des manuels de jeu automatisés. XDR doit être basé sur le cloud et conçu à l'aide de normes industrielles, d'API ouvertes et de formats de données courants pour répondre aux exigences d'évolutivité et d'intégration. L'intégration sera également promue par les principaux fournisseurs XDR via des partenariats et des services d'assistance aux développeurs.

Détection et réponse aux menaces aux États-Unis

La plupart des entreprises accordent la priorité à la détection et à la réponse aux menaces, car les cyberattaques telles que les ransomwares et les violations de la chaîne d'approvisionnement peuvent perturber, voire interrompre, les opérations commerciales. En conséquence, 83 % des entreprises prévoient d'augmenter leurs dépenses en matière de technologie, de services et de personnel de détection et de réponse aux menaces au cours des 12 à 18 prochains mois. Les organisations ont divers objectifs de détection et de réponse aux menaces pour lutter contre les cybermenaces, notamment :

• Amélioration de la détection des menaces sophistiquées. Les organisations cherchent à améliorer les règles de détection et les analyses pour accélérer la détection des menaces connues et non découvertes. Les approches d'amélioration de la détection comprennent une détection accrue des anomalies, des avertissements de sécurité plus fidèles, des « chronologies » d'attaque plus détaillées tout au long de la chaîne de destruction et la prise en charge de requêtes complexes pour une recherche de menaces plus avancée.
• Automatisation croissante des tâches de correction. Les tâches des opérations de sécurité pour l'atténuation des menaces et la réponse aux incidents reposent souvent sur des procédures manuelles et sur les « connaissances tribales » de l'équipe SOC. Cette pratique était peut-être adaptée en 2010, mais les méthodes manuelles ne peuvent pas évoluer pour répondre au nombre d'alertes de sécurité ou aux exigences d'analyse dans une infrastructure informatique hétérogène. Les équipes SOC reconnaissent la nécessité d'automatiser les opérations répétitives et d'orchestrer les actions de réaction pour le tri des alertes, les enquêtes de sécurité et la prévention des menaces. L'automatisation peut aider à simplifier les opérations, à augmenter la productivité des analystes et à maintenir l'équipe SOC concentrée sur l'amélioration continue.
• Réduire le temps moyen de réaction aux menaces. Une fois les menaces identifiées, la réponse aux incidents doit commencer rapidement afin de réduire les temps d'attente des adversaires et de limiter les dégâts. Cela comprend l'arrêt des cyberattaques actives, la détermination du rayon d'action des attaques et enfin la réparation des vulnérabilités résiduelles ou des vestiges des attaques. Les RSSI comprennent la nécessité d'accélérer ce processus.

À la rescousse, XDR ?

Reconnaissant la nécessité de technologies d’opérations de sécurité étroitement intégrées, ESG a introduit pour la première fois en 2016 l’idée d’une « architecture de plateforme d’opérations de sécurité et d’analyse ». Cette forme d’intégration prend progressivement de l’ampleur. Dans le cadre d’une récente étude d’ESG, les professionnels de la sécurité ont été interrogés pour savoir si leurs entreprises accordaient la priorité à l’intégration de l’analyse de sécurité et de la technologie opérationnelle. L’intégration de l’analyse de sécurité et de la technologie opérationnelle était la plus grande priorité pour 37 % des répondants à l’enquête, tandis que 56 % ont déclaré qu’il s’agissait de l’un de leurs cinq principaux objectifs.

Téléchargez le livre blanc d'ESG pour en savoir plus sur l'introduction d'IBM Security QRadar XDR uniquement sur les livres blancs en ligne.