Proposé par Palo Alto Networks

Nouvelle approche pour le SecOps

Avec l'aggravation des menaces, les entreprises ont du mal à faire face au volume élevé d'alertes de sécurité. La prochaine génération d'outils peut-elle les y aider et la XDR pourrait-elle être la réponse ?

Nouvelle approche pour le SecOps

Une entreprise a besoin d’outils efficaces et d’analystes compétents pour rester à la pointe de la sécurité. L’équilibre entre capital humain et technologique est cependant difficile à trouver.

Les technologies de détection et de prévention génèrent des centaines ou milliers d’alertes quotidiennes, surpassant les capacités de ces analystes. Il leur incombe de reconstituer le puzzle de ces alertes issues de sources déconnectées, mais ils ne peuvent gérer que les alertes les plus prioritaires, négligeant les autres.

Utilisation d’API et de SIEM

Bien des entreprises intègrent leurs données de sécurité au moyen d’API. Cela implique souvent l’usage d’un SIEM onéreux à la base de leurs opérations de sécurité, analysant et normalisant les données pour les agréger, en perdant une bonne partie du précieux contexte.

Cette option n’est pas parfaite. L’idéal, ce sont des technologies réduisant le nombre total d’alertes tout en permettant aussi aux analystes d’évaluer efficacement les menaces pour ne donner suite qu’aux plus prioritaires.

Nouveaux outils de réponse aux incidents

Une panoplie d’outils est arrivée à la rescousse : EDR (détection et réponse sur les terminaux), EPP (plateforme de protection des terminaux) et SIEM (gestion des événements et informations de sécurité). Tous ont leurs forces et faiblesses et peuvent être utiles contre des attaques simples, comme celles menaçant un seul élément de l’infrastructure. La plupart n’ont toutefois qu’un objectif et se prêtent mal, seuls, à la gestion de campagnes complexes.

Des outils plus récents, comme la NDR et l’UEBA sont conçus pour pallier certaines de ces lacunes. L’apprentissage automatique (ML) leur permet de repérer les anomalies par rapport aux activités de référence, résolvant les problèmes de détection d’attaques inconnues au moyen de SIEM.

Les limites des outils pour réseaux

Ces outils ont également leurs limites. Ils ne peuvent pas suivre ou contrôler des événements locaux, comme des données recueillies sur les terminaux. Si l’EDR est exhaustive, mais ciblée, la NDR est vaste, mais superficielle. Dépendant de journaux tiers pour contrôler et analyser des menaces pour l’attribution de notes de risque, l’UEBA devient inefficace en cas de souci de détection ou d’enregistrement d’un morceau d’infrastructure.

Cette situation souligne encore le fossé des compétences. Les entreprises doivent trouver des outils les aidant à gagner en efficacité, à automatiser les tâches répétitives et à simplifier les analyses.

Nouvelle génération de sécurité XDR

De nouveaux outils de réponse aux incidents répondent au besoin d’une détection et réponse étendues plus sophistiquées. Connue sous le nom de XDR, elle repose sur l’idée qu’une analyse isolée des composants individuels de l’infrastructure n’est pas efficace. Elle utilise des techniques d’apprentissage automatique et d’analyse dynamique pour combiner les capacités et résultats des technologies SIEM, UEBA, NDR et EDR.

Les XDR réunissent en un ensemble robuste les données du cloud, des terminaux et des réseaux. Elles offrent surtout une visibilité plus large avec des analyses d’apprentissage automatique plus efficaces et une remédiation intégrée pour révolutionner la chasse, la détection, l’investigation et la réponse aux menaces.

Partager cet article

Abonnez-vous à la newsletter CIO

Recevez notre newsletter tous les lundis et jeudis

La question du moment
Avez-vous mis en place une charte ou une politique encadrant les usages de l’IA générative au sein de l’organisation ?