L'ancre d'Enterprise Security est généralement connue sous le nom de "Défense en profondeur" architecture. La défense en profondeur (DID) est un concept défensif classique utilisé dans l'armée qui a été accepté dans la communauté Infosec au début des années 2000. La mise en œuvre/version Infosec de DID a évolué pour faire face aux menaces à mesure que le paysage des menaces progressait au fil du temps.
Avant l'avènement d'Internet, les ordinateurs n'avaient qu'une protection AV car la principale menace était les virus. Les virus ont été transférés sur des supports (disquette, etc.). Avec Internet, tous les ordinateurs étaient connectés et des menaces telles que les vers se propageaient sur les réseaux. Nous devions donc sécuriser les réseaux, et nous devions contrôler qui arrivait sur les réseaux en premier lieu, et ainsi de suite.
Dans sa forme actuelle, l'architecture DID s'est développée pour accueillir de nombreuses couches et continue d'évoluer. Ainsi, l'architecture DID s'est traduite en une sécurité en couches - périmètre, réseau, point de terminaison, application, utilisateur, données, politiques, etc. Pour chaque couche, un contrôle séparé et distinct a été développé pour se protéger contre les menaces à cette couche. Par exemple, les contrôles techniques de sécurité comprenaient des solutions telles que Pare-feu, passerelles Web sécurisées, IDS/IPS, EDR, DLP, WAFbauen anti-malware en vente au détail.
Outre le déploiement de la solution de sécurité en couches dans le paysage des menaces en évolution au fil du temps, les solutions étaient détenues, gérées et exploitées par différents groupes au sein de l'entreprise. Par exemple, le Pare-feu appartenait à l'équipe d'infrastructure sous IT. Un autre groupe possédait la solution de messagerie et un autre groupe possédait la solution de sécurité des terminaux. Cela a créé une solution en couches qui existait indépendamment de toutes les autres solutions. Par conséquent, le concept d'une solution autonome avec tous les apprentissages est resté à l'intérieur de l'équipe qui en est responsable - dans un silo.
Un autre attribut unique, les meilleures solutions, a également caractérisé la solution en couches. Parce que les solutions ont évolué, l'innovation est venue de différentes sources et disciplines, et un ensemble différent de fournisseurs a fourni chaque nouvelle couche de solution.
L'approche DID ou en couches de la sécurité a bien fonctionné pour les menaces à vecteur unique, c'est-à-dire lorsque la menace est entrée et sortie dans le même vecteur. Un exemple classique de ces premières menaces est les attaques basées sur les réseaux détectées par IDS / IPS, les menaces de messagerie telles que le spam par les passerelles de messagerie, etc.
Cependant, à mesure que les menaces deviennent plus complexes et que l'avènement des outils de génération automatisée de logiciels malveillants, des botnets et de la programmation à distance, le modèle de sécurité en couches s'effondre. En effet, l'hypothèse inhérente à la sécurité en couches - que toutes les protections et tous les contrôles sont parfaitement alignés pour détecter toutes les menaces et qu'il n'y a pas d'angle mort - s'avère fausse. Il y a des angles morts dans lesquels aucune des commandes n'a de visibilité. En conséquence, les attaquants utilisent les angles morts à leur avantage, ce qui rend difficile la détection de ces activités malveillantes.
D'après notre expérience dans la gestion d'une menace multivectorielle, il est clair que tous les contrôles impliqués dans une menace multivectorielle n'ont de visibilité que sur leurs silos et rien au-delà. N'oubliez pas que c'est par conception et par la façon dont la solution actuelle a été mise en place.
De plus, toute la configuration sous-jacente des infrastructures séparées, des silos de données et du mécanisme de réponse signifie que la gestion directe du contrôle est un problème de second ordre (n**2 – n). Cependant, avoir une couche au-dessus de tout pour fonctionner est un problème de premier ordre (2n) à résoudre.
Les options pour remédier aux angles morts sont les suivantes :
- Demandez à chaque couverture de contrôle pour leur voisin qu'ils n'ont aucun intérêt à faire.
- Embauchez plus d'analystes pour étendre manuellement la visibilité au-delà des silos
- Obtenez un outil qui peut fournir une visibilité sur les contrôles et leurs données à travers les silos et détecter ces menaces multi-vecteurs à l'aide de la collecte, de la corrélation, de la détection et de la réponse automatisées des données.
Si vous avez choisi l'option #3, vous avez raison !
Quel que soit son nom, la solution en #3 est une enveloppe qui couvre tous les contrôles pour détecter, corréler, coordonner et fournir des actions de réponse aux menaces à travers les silos.
Et c'est le moyen le plus efficace d'optimiser les systèmes de sécurité multi-contrôles en couches.
Son nom est Open XDR.
Open XDR est le tissu conjonctif entre les contrôles de sécurité conçu pour permettre aux équipes de sécurité de donner un sens aux vastes quantités de données générées par leurs contrôles de sécurité. La raison pour laquelle il est appelé "Open" n'est pas triviale ; c'est une caractéristique déterminante de la solution. Open XDRs peut ingérer des données à partir de n'importe quel contrôle de sécurité, y compris EDR une organisation s'est déployée. Ensuite, l'utilisation de capacités de détection spécialement conçues peut éliminer ces menaces multivectorielles qui peuvent amener votre organisation à la une du journal (ou du site Web d'actualités) si elles n'étaient pas détectées.
Bien qu'il n'y ait pas de solution miracle en matière de cyberdéfense, Open XDR est une nouvelle approche prometteuse de la sécurité qui minimise les angles morts tout en rendant une équipe de sécurité plus efficace.
