En 2018, Nir Zuk, CTO et co-fondateur de Palo Alto Networks, a inventé un nouveau terme pour décrire la manière dont les entreprises devaient aborder la cybersécurité dans les années à venir. Ce terme, bien sûr, était la détection et la réponse étendues (XDR). Il décrivait une infrastructure de cybersécurité unifiée qui réunissait sous un même toit la détection des menaces aux terminaux, l’analyse et la visibilité du réseau (NAV), la gestion des accès, etc., pour détecter et neutraliser les menaces numériques en temps réel.

Et la vision de Zuk sur XDR s’est avérée prophétique. Dans les années qui se sont écoulées depuis qu’il a inventé l’expression, les plates-formes tirant parti du modèle XDR sont devenues les leaders de facto du secteur de la cybersécurité des entreprises. Mais leur échelle et leur complexité les placent dans une classe de produits qui est tout simplement hors de portée pour certaines entreprises.

Heureusement, la communauté open source – comme elle le fait souvent – a comblé le vide XDR avec un produit abordable – car il est totalement gratuit. Il s’appelle Wazuh et fournit aux entreprises les outils dont elles ont besoin pour créer une solution XDR personnalisée qui répond à la fois à leurs besoins en matière de cybersécurité et de budget. Voici comment.

Les principales caractéristiques d’une plate-forme XDR
Bien que les diverses implémentations des solutions XDR s’accompagnent d’ensembles de fonctionnalités variés, la plupart des plates-formes XDR ont quelques fonctionnalités majeures en commun. Ils comprennent:

Fonctionnalité d’analyse et de détection des données

Une grande partie de la détection des menaces offerte par les solutions XDR se présente sous la forme d’analyse de données. En analysant les journaux et les performances des principaux systèmes, il est souvent possible de repérer une activité anormale ou des menaces. Pour faciliter cela, les plates-formes XDR effectuent généralement une analyse du trafic externe et interne, comparent les performances et enregistrent les données par rapport aux profils de menace connus, et utilisent des techniques d’apprentissage automatique pour détecter les modèles de menace émergents tels que ceux des attaques zero-day.

Enquête sur les menaces et réponse active
Les plates-formes XDR ne fournissent pas seulement aux entreprises un moyen de repérer les menaces potentielles. Ils fournissent également des outils pour aider les spécialistes informatiques à enquêter sur ces menaces et à déployer diverses contre-mesures pour les neutraliser à l’aide de réponses actives. Pour rendre cela possible, la plupart des plates-formes XDR fournissent un système d’alerte centralisé qui peut regrouper les alertes de journal associées de plusieurs systèmes dans une seule interface utilisateur. Cette interface utilisateur peut également aider les administrateurs à répondre aux alertes en orchestrant les réponses sur une variété de terminaux. Grâce à cette fonctionnalité, les administrateurs peuvent mettre à jour les politiques de sécurité à l’échelle de l’entreprise en réponse à une attaque détectée sur un point de terminaison unique.

Évolutivité et capacité évolutive
Enfin et surtout, les plates-formes XDR permettent aux entreprises d’intégrer facilement de nouveaux systèmes, technologies et terminaux pour les protéger. Cela signifie qu’ils sont conçus pour l’évolutivité et l’interopérabilité avec une grande variété d’autres produits technologiques spécifiques aux fournisseurs. De cette façon, il s’agit d’une solution relativement évolutive qui évolue avec une entreprise au fil du temps. Mais ils incluent également des fonctionnalités d’apprentissage automatique qui aident leurs capacités défensives à s’adapter à un environnement technologique donné et à s’améliorer au fur et à mesure de leur fonctionnement.

Comment Wazuh fournit la fonctionnalité XDR

L’éclat de l’approche Wazuh de XDR est qu’elle peut facilement s’intégrer à une variété d’autres outils de sécurité open source. Cela signifie que les entreprises qui l’utilisent peuvent adapter le système pour répondre à leurs besoins spécifiques sans qu’aucun accord de licence complexe et coûteux ne les gêne. Par exemple, PDQ Deploy pour installer des logiciels et des correctifs sur les postes de travail, AbuseIPDB pour détecter les adresses IP malveillantes impliquées dans le spam, les tentatives de piratage et les attaques DDoS, et URLhaus pour détecter les URL malveillantes utilisées pour la distribution de logiciels malveillants.

Mais le cœur de l’approche Wazuh XDR se présente sous la forme de son agent de surveillance multiplateforme. Il est compatible avec la plupart des appareils via sa prise en charge de système d’exploitation de haut niveau. Cela signifie que les entreprises peuvent le déployer pour commencer à collecter des données sur les terminaux avec très peu de personnalisation nécessaire. Ces agents transmettent les informations système au serveur Wazuh, où il exécute diverses routines de détection d’anomalies et de logiciels malveillants. De cette manière, les administrateurs bénéficient d’une visibilité instantanée sur la sécurité des terminaux via l’interface centralisée du serveur. Mais ce n’est pas tout.

Grâce à des intégrations avec des outils tels que Suricata et OwlH, les administrateurs bénéficient de puissantes fonctions de détection et de visualisation des intrusions sur le réseau. Cela leur donne le même type de connaissance de la situation qu’offrent les autres principales plates-formes XDR, mais sans le prix associé. Et le système peut même exécuter des routines de réponse automatisées aux menaces basées sur les données du réseau et des points finaux, prenant des mesures pour arrêter les attaques dans leur élan avec peu ou pas d’intervention manuelle requise.

Et parce que Wazuh est une solution open source, elle offre le nec plus ultra en matière d’évolutivité et de capacités évolutives. Il peut déjà s’intégrer à des solutions d’apprentissage automatique axées sur la sécurité comme Macie d’Amazon, ce qui lui confère des capacités de surveillance des données stockées. Mais la possibilité d’intégrations supplémentaires est infinie. Cela signifie que les entreprises qui choisissent d’utiliser Wazuh comme solution XDR ne seront pas enfermées dans un système d’apprentissage automatique particulier, et elles peuvent adapter la capacité évolutive du système à leurs propres besoins.

Les plats à emporter critiques
Il ne fait aucun doute que les principales solutions XDR d’aujourd’hui représentent l’état de l’art actuel en matière de cybersécurité de niveau professionnel. Et leur approche globale de la défense de l’infrastructure commerciale numérique en représente probablement l’avenir également. C’est parce qu’ils reconnaissent la réalité que la protection des données et des actifs de l’entreprise signifie avoir une véritable transparence dans les opérations des terminaux et permettre des réponses à l’échelle de l’infrastructure aux menaces à tout moment.

Bien que XDR ne pénétrera pas le marché de la cybersécurité avant quelques années en raison de problèmes de mise à l’échelle, le fait qu’une solution open source comme Wazuh existe n’est pas une mince affaire. Il détient le pouvoir de fournir une fonctionnalité XDR significative et efficace aux organisations de toutes tailles. Et il est également suffisamment flexible pour s’adapter aux besoins changeants de l’entreprise et aux nouvelles intégrations technologiques. Il n’est pas exagéré de dire que cela change vraiment la donne dans le domaine de la cybersécurité tel qu’il existe aujourd’hui.

Et le meilleur de tous – c’est gratuit et se développe à un rythme rapide avec le soutien de la communauté open source. Tout ce que les entreprises ont à faire pour en profiter est d’investir dans du matériel modeste pour servir de hub de contrôle, ou peuvent simplement utiliser Wazuh Cloud. Ils peuvent utiliser Wazuh pour créer un système XDR sur mesure qui est à la hauteur de tout ce qui est actuellement disponible sur le marché commercial.

Et mieux encore, ils se retrouveront avec un système personnalisable et évolutif à l’infini, ce qui signifie que c’est un système dans lequel les entreprises peuvent investir sans craindre qu’il soit un jour dépassé et obsolète.

Il n’y a pas beaucoup de solutions dans le monde de la cybersécurité qui peuvent faire une telle affirmation – faisant de Wazuh une force avec laquelle il faut compter sur le marché XDR en général.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *