XDR – Un changeur de jeu pour la cybersécurité

Au cours de la dernière décennie, nous avons assisté à une prolifération d'outils de détection et de réponse aux menaces, chacun essayant de garder une longueur d'avance sur les cybermenaces en constante évolution. Avec la migration des fonctions métier vers le cloud et l'augmentation de la main-d'œuvre distante, la détection et la réponse ne sont pas des tâches triviales.

Les organisations ont adopté une approche multicouche avec des solutions et des services qui couvrent le pare-feu de nouvelle génération (NGFW), la détection et la réponse aux points de terminaison (EDR), les passerelles de messagerie sécurisées, le SIEM et Threat Intelligence, pour n'en nommer que quelques-uns. Malheureusement, bien que ces points de contrôle fournissent un certain degré de détection et de réponse, ils restent insuffisants.

• En tant que solutions cloisonnées, leurs données ne contiennent qu'une partie du contexte nécessaire pour comprendre le paysage des menaces, ce qui entraîne des angles morts à haut risque.
• La détection et la réponse sont réactives. En termes simples, la solution vous alerte pour rechercher l'hôte compromis, mais vous avez déjà été piraté.

Pour une posture de sécurité efficace et holistique, vous avez besoin d'une solution capable d'agréger la télémétrie de tous ces points de contrôle, de l'analyser, de signaler et de répondre automatiquement aux menaces identifiées. C'est ce qu'on appelle la détection et la réponse étendues (XDR).

XDR étend la visibilité des alertes de sécurité et des données brutes à travers toute la télémétrie de sécurité, puis applique l'analyse, l'automatisation et l'apprentissage automatique pour détecter, analyser, chasser et arrêter les menaces et les violations.

Les facteurs suivants distinguent la solution XDR d'Anomali.

Collecte sans agent à des volumes illimités

Avec le nombre croissant d'hôtes et d'appareils dans une organisation, une approche sans agent est la clé d'une collecte de télémétrie efficace. En collectant les événements de tous les points de contrôle, XDR peut éliminer le besoin d'agents installés localement. Les alternatives sans agent permettent non seulement d'intégrer rapidement et de manière transparente la télémétrie dans les plates-formes XDR, mais elles éliminent également les limites du volume de télémétrie pouvant être ingéré.

Avec la capacité d'ingérer des télémétries à partir de centaines de points de contrôle, de millions de terminaux et de cloud public, Anomali XDR couvre le plus grand spectre de télémétrie étendu de toutes les solutions de sécurité du marché.

Analyses et informations hautes performances

Anomali XDR corrèle la télémétrie à une vitesse fulgurante avec le plus grand référentiel de renseignements sur les menaces, en utilisant des algorithmes d'apprentissage automatique pour l'analyse prédictive et en attribuant un score de risque pour former un verdict et signaler une détection.

Il peut corréler la télémétrie avec des indicateurs de menaces malveillantes à 190 000 milliards d'événements corrélés par seconde, ce qui permet de corréler la télémétrie brute au lieu d'être contraint aux limites de la solution de sécurité héritée. De plus, l'examen de la télémétrie brute par rapport à ThreatStream permet à Anomali XDR d'identifier les menaces qui peuvent être manquées par d'autres solutions de sécurité. Une fois qu'une correspondance est trouvée, l'analyste peut obtenir des informations sur la menace et les hôtes affectés grâce aux outils d'investigation d'Anomali XDR.

Réponse automatisée

Semblable à une réponse du système immunitaire, Anomali XDR peut générer des actions de réponse automatiques. Une fois qu'une menace est détectée et confirmée, XDR transmet automatiquement les renseignements sur les menaces lisibles par machine (MRTI) aux points de contrôle de l'organisation qui peuvent prendre des mesures pour bloquer, mettre en quarantaine, appliquer des correctifs, etc.

La gestion des incidents

Anomali XDR est conçu pour une gestion collaborative et collective des incidents grâce à des outils et des tableaux de bord intuitifs. Il fournit des outils tels que les enquêtes, qui permettent à l'analyste d'enregistrer les premiers résultats, d'ajouter des données de support et d'attribuer l'enquête à un groupe de personnel de sécurité qui peut s'occuper du ou des hôtes compromis et sécuriser le périmètre.

Détection et réponse proactives aux menaces

Anomali XDR ne concerne pas seulement la réponse réactive. Nous avons identifié des cas où les télémétries montraient des rançongiciels qui n'étaient pas encore connus de nombreux fournisseurs de flux et ne faisaient donc pas partie des renseignements sur les menaces généralement disponibles. Cependant, grâce aux modèles d'apprentissage automatique et aux algorithmes de reconnaissance des modèles d'attaque de ThreatStream, nos moteurs de comportement des menaces ont dérivé ces menaces et les ont signalées.

Avec la plate-forme Anomali, nous capturons des niveaux élevés de modèles, d'acteurs, de campagnes, de TTP et de modèles d'attaque stratégiques. Sur la base des modèles d'attaque connus et de la détection des menaces actuelles, la plate-forme Anomali prédit et prévient les attaques futures, bouclant ainsi le cercle complet de la détection et de la réponse aux menaces. Découvrez comment prévenir les menaces de ransomware à l'aide de la plate-forme Anomaliici.

Anomalie

directeur de la technologie , Wei Huang a plus de 20 ans d'expérience dans la création de logiciels d'entreprise dans les secteurs de la sécurité et de l'analyse de données.  Wei était l'architecte d'ArcSight Logger, l'un des produits de sécurité les plus réussis créés chez ArcSight.  Il a joué un rôle déterminant dans la conception et la construction d'ArcSight CORR-Engine : la plate-forme de données volumineuses avec une compression de données de 10 pour 1 et des performances de requête 5 fois plus rapides qu'Oracle RDBMS.  Après l'acquisition d'ArcSight par HP, Wei a assumé des responsabilités supplémentaires en tant que technologue en chef et a dirigé la direction technique et l'architecture de la gamme de produits ArcSight au sein du portefeuille HP Enterprise Security.