3 conseils pour distinguer l’EDR du XDR

Les solutions de cybersécurité sont passées d’une technologie d’investigation et de découverte de base à des solutions d’analyse comportementale permettant une détection et une réponse en temps réel. Cependant, pour être vraiment efficaces, elles doivent également protéger contre des comportements anormaux pouvant sembler inoffensifs en tant que tels, mais qui se révèlent être des incidents nécessitant une réponse la plus rapide possible après avoir fait l’objet d’un examen global de corrélation et de contextualisation des détections. 

Le terme « détection et réponse » englobe les technologies qui visent à fournir une visibilité supérieure, une meilleure capacité d’identification et une réponse plus efficace aux menaces sur une large surface d’attaque. La ressemblance entre EDR et XDR peut générer de la confusion. 

EDR vs. XDR 

La principale différence entre les deux solutions réside dans le fait que le XDR est l’évolution naturelle de l’EDR, car elle étend ses capacités. Un examen approfondi révèle d’autres différences importantes :  

1- Collecte des données

Une solution EDR collecte la télémétrie pouvant inclure des types et des volumes spécifiques d’activités se produisant sur un endpoint et tout ce avec quoi il communique, à la fois à l’intérieur d’une entreprise et en dehors, mais aussi les types de données et de fichiers transitant vers et depuis cet endpoint. Quant à une solution XDR, elle recueille des données provenant d’un plus grand nombre de sources. Elle complète la télémétrie de la solution EDR en la croisant avec d’autres sources comme le trafic réseau ou l’activité d’identité, puis en corrélant ces données et en présentant un contexte plus large. 

2- Analyse des données

Dans le cas de la solution EDR, les données des endpoints sont envoyées à un moteur d’analyse EDR qui détecte les comportements anormaux et les met en correspondance avec des indicateurs d’attaque (IoAs), qui informent de la présence potentielle d’activité malveillante connue. En recueillant d’autres données dans l’environnement, le XDR est en mesure d’identifier la nature et l’origine de toute activité malveillante détectée avec un niveau de confiance élevé, réduisant ainsi les faux positifs et augmentant la fiabilité et la précision. 

3- Détection et réponse aux menaces 

La technologie EDR utilise l’Intelligence Artificielle (IA), le Machine Learning (ML) et l’analyse de fichiers avancée pour examiner le comportement des endpoints et identifier les malwares ainsi que les menaces sophistiquées. Elle dispose également de mécanismes de réponse automatique avec des actions comme l’envoi d’alertes de sécurité, l’isolement de la machine du réseau et l’élimination des menaces potentielles. Parallèlement, la technologie XDR, grâce à l’utilisation de l’inter-domaine et à la corrélation avec les activités surveillées par différents produits de sécurité, fournit le contexte de la menace, en plus d'évaluer et de détecter les scénarios malveillants qui pourraient être des indicateurs de compromission (IoC), réduisant ainsi le temps moyen de détection (MTTD) et limitant rapidement l’impact de la menace, sa gravité et sa portée. La technologie XDR permet également une réponse orchestrée inter-domaines de manière native, comme une réponse conjointe des endpoints et du réseau, en isolant les endpoints et en bloquant l’adresse IP externe associée à l’incident. 

EDR ou XDR : quelle est la solution la plus adaptée aux besoins de vos clients ?  

S’il est vrai que l’EDR et le XDR couvrent des cas d’utilisation courants, ces solutions sont différentes et répondent à des besoins spécifiques. Lorsqu’ils envisagent d’adopter ou de recommander l’une de ces solutions, les MSP doivent évaluer la situation et les capacités actuelles de leurs clients afin de leur proposer l’option qui convient le mieux à leurs besoins. Les éléments à analyser sont les suivants :  

• Infrastructure informatique 

La première étape consiste à déterminer les actifs à protéger. La solution XDR est idéale pour les entreprises de taille moyenne avec un personnel limité et un manque d’outils automatisés, ce qui signifie qu’elles doivent passer beaucoup de temps à trier manuellement les détections, à gérer les alertes et à accéder à plusieurs consoles pour recueillir ces informations et les contextualiser afin de savoir comment agir face à une menace.  

• Connaissances requises en matière de sécurité 

Les solutions EDR et XDR nécessitent une certaine expertise pour un déploiement et une gestion efficaces, ainsi que de l’expérience en sécurité et en threat hunting. Si l’entreprise utilise des services managés, ce point sera potentiellement moins important, car elle disposera du personnel qualifié pour mettre en œuvre ces technologies. Les MSP qui conseillent les entreprises sur les solutions à adopter doivent formuler une recommandation en fonction des besoins du client, de la sensibilisation aux cyberattaques, du nombre de collaborateurs et de l’infrastructure déployée par l’entreprise. 

À partir de ces critères clés, les MSP peuvent accompagner les entreprises dans la mise en œuvre de solutions et de services. Chez WatchGuard, nous mettons nos outils XDR et Endpoint Detection and Response (EDR) à la disposition de nos partenaires avec WatchGuard ThreatSync afin qu’ils puissent les utiliser pour fournir des services à valeur ajoutée ou les recommander aux clients finaux. En effet, si les deux solutions assurent un niveau élevé d’automatisation en matière de détection et de réponse, ThreatSync va encore plus loin en étendant ces capacités, ce qui permet d’orchestrer la détection et la réponse sur plusieurs solutions de sécurité. 

Pour en savoir plus sur notre technologie de détection et de réponse étendues (XDR), n’hésitez pas à lire cet autre billet de blog : XDR : qu’est-ce que c’est, comment ça marche et comment les MSP l’utilisent ?