L'offre XDR de Cisco rassemble six sources de télémétrie que les opérateurs de SOC considèrent comme essentielles pour une solution XDR : les points d'extrémité, le réseau, le pare-feu, le courrier électronique, l'identité et les DNS. (Illustration : D.R.)
Le service XDR de Cisco exploitera les données relatives aux menaces remontant de millions de points d'extrémité d'entreprises clientes ainsi que d'équipements de sécurité tiers afin de détecter rapidement les menaces et y remédier.
Cisco fait son premier grand pas dans le domaine de la détection et de la réponse étendues (Extended Detection and Response, XDR). Le fournisseur lance un système intégré de logiciels SaaS pour les points d'extrémité, le réseau, le pare-feu, la messagerie électronique et les identités, afin de protéger les ressources de l'entreprise. Le service, qui sera disponible en juillet, rassemble une myriade de produits de sécurité de Cisco et de tiers pour contrôler l'accès au réseau, analyser les incidents, remédier aux menaces et automatiser la réponse, le tout à partir d'une interface unique basée sur le cloud. « L'offre rassemble six sources de télémétrie que les opérateurs des SOC considèrent comme essentielles pour une solution XDR : les points d'extrémité, le réseau, le pare-feu, le courrier électronique, l'identité et les DNS », a déclaré Cisco. Parmi les produits tiers supportés, Cisco cite Microsoft Defender pour Endpoint et Office, Palo Alto Networks Cortex XDR et son pare-feu Next-Generation Firewall, Trend Micro Vision One, SentinelOne Singularity et ExtraHop Reveal. Le service prend également en charge les systèmes de gestion des informations et des événements de sécurité (Security Information and Event Management, SIEM), notamment Microsoft Sentinel Zero Trust et Microsoft Access Management.
Utiliser les données recueillies sur 200 millions de terminaux
« Malgré l'adoption généralisée de toutes les solutions de sécurité pour points d'accès existantes, les clients constatent que les incidents de cybersécurité - en particulier les attaques de ransomware qui augmentent de manière incontrôlable - parviennent à franchir les défenses. En rassemblant ces outils dans un seul système qui examine le courrier électronique, le trafic web, le contrôle d'accès et d'autres métriques avec des analyses, des télémétries et d'autres outils en un endroit unique, les clients pourront avoir une image plus claire des modèles de sécurité », a déclaré Tom Gillis, vice-président senior et directeur général Security Business Group de Cisco. « L'idée est de permettre aux équipes de sécurité de détecter les menaces et d'y remédier avant qu'elles ne provoquent des dommages importants au réseau et à l'entreprise », a ajouté M. Gillis. « Contrairement aux systèmes SIEM auxquels sont souvent comparées les solutions XDR, la plupart des produits SIEM sont des systèmes d'agrégation de journaux qui effectuent des analyses historiques », a expliqué M. Gillis. La différence réside dans le fait que les systèmes XDR travaillent en temps réel ou quasi réel. « Un système XDR a besoin de données beaucoup plus fines et beaucoup plus fidèles », a encore déclaré M. Gillis. « Les attaquants utilisent des chemins d'applications légitimes pour imiter le comportement d'un utilisateur ou d'une application légitime. Aujourd'hui, il faut que le SOC examine ce comportement en profondeur pour distinguer l'ami de l'ennemi. Cisco prévoit d'utiliser les données recueillies auprès de sa base de clients en sécurité, notamment le client de mobilité AnyConnect de ses 200 millions de points d'extrémités », a-t-il ajouté.
La suite de SecureX
Ces données étaient déjà disponibles pour le service cloud SecureX de Cisco, qui permet de détecter les menaces et d'y remédier à partir d'une interface unique. Avec lui, les équipes de sécurité IT peuvent automatiser et orchestrer la gestion de la sécurité dans le cloud, le réseau, les applications et les points d'extrémités du fournisseur. « SecureX était la structure à partir de laquelle tous les produits de Cisco tiraient des informations sur les menaces », a déclaré Chris Kissel, vice-président Security & Trust Products d'IDC Research. « En d'autres termes, si le client dispose de Cisco Web/email, de Cisco Security Analytics, d'un pare-feu, d'un point d'extrémité, etc. - la télémétrie était partagée avec d'autres produits Cisco », a-t-il expliqué. « Mais cette approche posait deux problèmes. D'abord, le XDR est plus qu'une télémétrie partagée à partir de plusieurs produits de sécurité », a expliqué M. Kissel. « Le XDR comprend un flux de travail unifié, une détection plus sophistiquée - une meilleure hiérarchisation et/ou la recherche de la cause première d'un incident - et des résultats plus axés sur la sécurité, comme l'atténuation des ransomwares, les défenses contre les attaques de phishing », a-t-il encore déclaré. « Ensuite, Cisco possède des capacités de détection aussi solides que n'importe quel autre fournisseur, mais l'idée de SecureX ne se traduisait pas par des opportunités de monétisation de ses capacités. Un module complémentaire XDR permet à un client de point d'extrémité (par exemple) d'obtenir des capacités supplémentaires », a-t-il encore déclaré. « Avec l'ajout du XDR, l'idée est d'offrir une plateforme de détection et de réponse tout-en-un, mais en termes de fonctionnalités, elle n'est pas très différente d'un SIEM », a-t-il déclaré.
Cisco a plusieurs années de retard dans le XDR
« La cybersécurité est un jeu constant d'ajustements. La détection mène à la réponse, et quand il y a une réponse, l'espoir est que la remédiation ne résolve pas seulement cet ensemble spécifique de problèmes, mais qu'elle mène à une meilleure compréhension de la posture de cybersécurité d'une entreprise et aide à la renforcer de manière proactive », a encore déclaré le vice-président Security & Trust Products d'IDC Research. « Pour rester pertinentes, les plus grandes entreprises de sécurité au monde, comme Cisco, IBM, Palo Alto Networks et Microsoft, doivent offrir des capacités de plate-forme holistiques et complètes », a ajouté M. Kissel. « De concept de marketing, porté il y a quatre ans par quelques entreprises pionnières, le XDR est devenu depuis un peu plus de deux ans une considération courante », a encore déclaré M. Kissel. « Cela signifie que Cisco a plusieurs années de retard sur Palo Alto Networks, CrowdStrike et TrendMicro. Les acteurs de la détection et de la réponse aux points d'extrémités, comme Sophos, TrendMicro et SentinelOne, ont porté leur maturité XDR au-delà de la détection et de la réponse améliorées aux points d'accès », a ajouté M. Kissel. Outre le service XDR, Cisco a également annoncé qu'à partir du 1er mai, il ajouterait la prise en charge de Trusted Endpoints à tous les utilisateurs payants de son logiciel de protection d'accès Duo Editions. Auparavant, Trusted Endpoints n'était disponible que pour le niveau le plus élevé de Duo. Trusted Endpoints permet uniquement aux appareils enregistrés ou managés d'accéder aux ressources. Basé sur le cloud, le service Duo contribue à la protection contre les cyberattaques en utilisant l'authentification multifactorielle adaptative pour vérifier l'identité des utilisateurs et la santé de leurs appareils avant d'accorder l'accès aux applications.
Suivez-nous