Joffrey Chambon - Synetis

S’y retrouver parmi les solutions EDR, MDR, NDR, XDR

La sophistication de schémas d’attaques a fait émerger des outils accompagnés d’une multitude d’acronymes parfois complexes à distinguer.

Sur le même sujet
Nov 2022
Par Joffrey Chambon, consultant sécurité opérationnelle, Synetis

Les solutions EDR se concentrent sur les postes clients. Cette technologie utilise des sources d’informations présentes sur les terminaux – tels que les logs ou bien les processus s’exécutant sur le poste pour repérer les comportements suspects.

En cas de détection d’un élément malveillant sur l’un des terminaux, la solution EDR montre sa capacité à mener plusieurs types d’actions pour remédier avec efficacité à cette menace : mise en quarantaine d’un élément ou du terminal ; retour à un état antérieur de la machine, notamment.

Par le volume de données collectées, les solutions EDR se révèlent complexes à ajuster ou configurer. Le nombre de faux positifs peut rapidement devenir difficile à maîtriser sur de larges périmètres. L‘EDR as a Service, qui inclut non seulement le déploiement de la solution EDR mais aussi son exploitation pour maintenir une configuration adéquate, minimise le nombre de faux positifs et les analyses des alertes pertinentes.

Les solutions NDR ont, elles, pour vocation de détecter des flux réseaux inhabituels dans le système d’information en se basant sur d’autres critères tels que le volume, la fréquence, la date ou encore la source des échanges.

« Distinguer ces concepts est essentiel pour adopter une stratégie efficace de supervision »

Joffrey Chambon, consultant sécurité opérationnelle, Synetis

En cas de comportement suspect, le NDR est également en mesure de mener des actions sur le réseau pour endiguer une éventuelle menace. Alors que l’EDR détecte les événements se déroulant sur un poste, le NDR remonte ceux se produisant entre chaque poste.

MDR ET XDR, L’UNION FAIT LA FORCE

Cependant, sans analyse humaine, aucune corrélation n’est possible entre EDR et NDR. De plus, certaines entreprises ne disposent pas des ressources pour exploiter pleinement ces multiples outils. C’est donc pour répondre à ces deux problématiques que l’XDR et le MDR ont émergé.

Les outils XDR rassemblent plusieurs concepts de surveillance en une seule solution. Ce regroupement permet aux entreprises de se focaliser sur une unique solution pour gérer la sécurité de leur S.I. et, éviter une dispersion de leur capacité d’analyse. Un XDR surveillera à la fois les terminaux, les échanges entre ceux-ci, mais il utilisera aussi des sources de données externes afin d’ajouter encore du contexte aux événements se produisant sur le S.I., et cela grâce à la cyber threat intelligence (CTI).

Les solutions XDR sont donc en mesure d’identifier un schéma d’attaque et de réagir en conséquence. En outre, cette réaction est personnalisable grâce aux options de réactions approfondies proposées par l’XDR.

Quant au MDR, il s’agit de la couche de services associée à ces technologies, et donc de la délégation de la gestion d’un ou plusieurs outils de sécurité, à des experts formés aux procédures de gestion des alertes. Le traitement de ces dernières est ainsi accéléré, et les équipes internes se voient soulagées d’une partie de la charge d’analyse.

Ces technologies qui, de prime abord, semblent similaires, ont toutes leurs particularités. Elles répondent à des problématiques et enjeux spécifiques. Qu’il s’agisse d’outils de sécurité (EDR, NDR, XDR) qui supervisent tout ou partie d’un S.I, ou de services d’exploitation de ces derniers (EDR as a Service, MDR), distinguer ces concepts est essentiel pour adopter une stratégie efficace de supervision.

Finalement, connaître ses actifs et ses besoins en termes de sécurité constitue une condition indispensable dans l’élaboration de cette approche. 

POUR Y VOIR CLAIR

L’ EDR (endpoint detection & response) mène des actions multiples de remédiation.
Le MDR (managed detection & response) accélère les process de gestion des alertes, et soulage les équipes internes d’une part de la charge d’analyse.
Le NDR (network detection & response) détecte les flux inhabituels au sein du S.I.
L’ XDR (extended detection & response) surveille les terminaux et leurs échanges en sollicitant des sources de données externes.