L’importance de l’open source pour une architecture XDR

Les attaquants ne se contentent plus d’infecter des fichiers ou des systèmes, mais veulent paralyser des entreprises entières. Les chaînes d’approvisionnement brisées, les rançongiciels et les attaques par essuyage font la une des journaux et ont un impact non seulement sur l’entreprise, mais aussi sur ses parties prenantes. À mesure que les approches et les objectifs des acteurs de la menace changent, notre approche de la détection et de la réponse change également.

La détection et la réponse étendues (XDR) sont désormais largement reconnues comme le moyen le plus efficace d’activer la détection et la réponse sur l’ensemble de l’infrastructure, sur tous les vecteurs d’attaque, sur plusieurs fournisseurs et sur les technologies de sécurité basées sur le cloud et sur site. Tenir cette promesse nécessite que TOUS les outils et TOUTES les équipes travaillent ensemble, donc le « facteur X » dans une architecture XDR est l’intégration. Et cette intégration doit être large et approfondie afin que les entreprises puissent tirer le meilleur parti de leurs meilleures solutions de sécurité existantes, y compris leurs outils gratuits et open source.

[ Read: XDR is a Destination, Not a Solution ]

D’innombrables flux de menaces et ressources de renseignement open source fournissent des informations essentielles et des mesures préventives pour atténuer les menaces existantes et émergentes. De plus, le MISP est une excellente ressource pour partager des informations. La vaste base de connaissances de MITRE ATT&CK aide les équipes à mieux comprendre les campagnes contradictoires et les mesures d’atténuation basées sur des observations du monde réel. Et la connexion à TheHive accélère la réponse aux incidents, ce qui est une priorité pour de nombreuses organisations. Individuellement, ces outils offrent d’énormes avantages. Mais lorsque vous les intégrez dans le cadre d’une architecture XDR globale, leurs avantages sont amplifiés de trois manières.

1. Enrichissez les événements avec des données critiques sur les dernières menaces. La détection nécessite désormais des informations étendues et approfondies provenant de systèmes et de sources disparates, rassemblées dans une vue unique afin que vous ayez une image complète de la menace à laquelle vous êtes confronté et de ce que vous devez défendre. Les événements de toutes les sources de données internes, y compris votre système SIEM, le référentiel de gestion des journaux, le système de gestion des cas et l’infrastructure de sécurité, sur site et dans le cloud, semblent être indépendants. Mais lorsque vous agrégez ces données, puis que vous les augmentez et les enrichissez automatiquement avec des données sur les menaces provenant des différentes sources auxquelles vous pouvez vous abonner (fournisseurs de sécurité open source, commerciaux, gouvernementaux, industriels et existants) ainsi que des frameworks open source comme MITRE ATT&CK, vous commencez à voir la situation dans son ensemble. À mesure que de nouvelles crises et épidémies émergent, une grande partie des informations et des mesures préventives qui inondent la communauté de la sécurité proviennent de diverses sources ouvertes et dans une variété de formats, notamment des blogs de recherche, des rapports commerciaux et gouvernementaux, des sites Web d’actualités et des référentiels GitHub. Une plate-forme d’opérations de sécurité avec des connecteurs prêts à l’emploi facilite l’importation de ces informations. Tandis que les connecteurs personnalisés, qui peuvent être écrits et déployés en quelques heures, vous permettent d’ingérer des données provenant de sources supplémentaires de renseignements sur les menaces dès qu’elles sont disponibles.

2. Tirez le meilleur parti des équipes et des outils existants. L’intégration bidirectionnelle garantit les flux de données entre les équipes et les outils dans le cadre des workflows existants. Avec un kit de développement logiciel (SDK) et des API faciles à utiliser, l’intégration avec les outils existants, notamment MISP et TheHive, est rapide. Lorsque les bonnes données parviennent aux bons systèmes et aux bonnes équipes au bon moment, l’utilisation des données s’améliore et les équipes travaillent plus efficacement car elles sont capables de partager des informations exploitables à l’aide d’outils qu’elles connaissent et auxquels elles font confiance. Les organisations tirent davantage parti de toutes leurs ressources existantes tout en accélérant la détection et la réponse. L’intégration bidirectionnelle permet également une boucle de rétroaction afin que les équipes puissent collecter et stocker des données à des fins d’apprentissage et d’amélioration. Les nouvelles données et observations de la communauté MISP, TheHive, MITRE ATT&CK, vos analystes internes et d’autres sources fiables continuent d’améliorer l’analyse, la prise de décision et l’action.

3. Prenez la bonne action plus rapidement. Aujourd’hui, les attaques impliquent plusieurs systèmes. Par conséquent, la réponse nécessite la capacité de regarder au-delà d’un fichier ou d’un système pour trouver tous les événements et données connexes dans l’entreprise. Relier les points et contextualiser avec des renseignements supplémentaires accélère la résolution des incidents et la réponse à travers l’infrastructure. MITRE ATT&CK joue un rôle central en aidant les équipes à élargir leur recherche d’artefacts liés à la campagne dans leur environnement, à tester des hypothèses pour confirmer ou réfuter les résultats et à prendre rapidement des décisions concernant la réponse et la correction. TheHive peut prendre en charge la réponse aux incidents, mais vous pouvez également l’intégrer à un écosystème d’outils pour prendre en charge une variété de cas d’utilisation, notamment le spear phishing, la chasse aux menaces, le tri des alertes et la gestion des vulnérabilités. Grâce à une compréhension plus approfondie de ce qui se passe dans votre environnement et à l’intégration entre les ensembles d’outils, vous pouvez renvoyer instantanément et automatiquement les données associées aux bons outils de votre réseau de défense pour prendre les bonnes mesures, plus rapidement.

De nombreuses entreprises se tournent d’abord vers les outils open source parce qu’ils sont gratuits. Aujourd’hui, ces outils ont gagné un public fidèle en raison de leur valeur considérable, et les équipes continueront de compter sur eux en tant qu’élément essentiel de leur boîte à outils de sécurité pour les décennies à venir. Dans le cadre d’une architecture XDR avec une intégration large et profonde, il est désormais possible d’améliorer encore plus les outils open source car, comme l’a déclaré Jon Oltsik d’ESG, « XDR pense que le tout est supérieur à la somme de ses parties. « Les outils open source sont une partie importante.

En rapport: 3 questions aux MDR pour faciliter la transition de votre organisation vers XDR

En rapport: Trois approches d’une architecture XDR

voir les compteurs

Marc Solomon est directeur marketing chez ThreatQuotient. Il a une solide expérience en matière de croissance et de constitution d’équipes pour des sociétés de sécurité à croissance rapide, ce qui a abouti à plusieurs événements de liquidité réussis. Avant ThreatQuotient, il était vice-président du marketing de la sécurité chez Cisco suite à l’acquisition de Sourcefire pour 2,7 milliards de dollars. Pendant son séjour chez Sourcefire, Marc a occupé le poste de CMO et SVP of Products. Il a également occupé des postes de direction chez Fiberlink MaaS360 (acquis par IBM), McAfee (acquis par Intel), Everdream (acquis par Dell), Deloitte Consulting et HP. Marc agit également en tant que consultant auprès de plusieurs entreprises technologiques, dont Valtix.

Chroniques précédentes de Marc Solomon :
Mots clés:

Leave a Comment