FortiXDR - Détection, analyse et réponse automatisées aux menaces
Fortinet
L'innovation numérique a transformé les entreprises et les réseaux qu'elles utilisent pour exécuter des applications essentielles, effectuer des transactions en ligne, connecter des employés à distance et collecter et traiter des données importantes. Et comme par le passé, ces progrès ont entraîné de nouveaux défis en matière de sécurité, qui ont donné lieu à de nouvelles solutions de sécurité pour y faire face. Cependant, le rythme de la transformation a laissé peu de temps aux entreprises pour prendre en compte l'infrastructure de sécurité plus large lors de la mise en œuvre de ces solutions. Le résultat est qu'aujourd'hui plus que jamais, les équipes de sécurité doivent essayer de gérer une énorme collection d'outils de sécurité de différents fournisseurs et d'atteindre une sorte de transparence ainsi qu'une orchestration et une application cohérentes des politiques dans toute l'entreprise. Entre autres défis, les équipes de sécurité doivent lutter pour détecter et répondre à des cyber-attaques de plus en plus nombreuses - et de plus en plus nuisibles - via un ensemble d'outils de sécurité complexe et largement isolé.
En discutant avec les clients, généralement par le biais de briefings exécutifs en ligne, la plupart d'entre eux comprennent les défis logistiques et technologiques de cette complexité et sont intéressés par le fait de passer de dizaines de fournisseurs et de produits de sécurité différents à une poignée de plateformes de sécurité, voire moins, complétées par des produits isolés si nécessaire. Je ne suis donc pas surpris que, selon Gartner, 80 % des entreprises procèdent actuellement à une consolidation des fournisseurs de sécurité ou prévoient de le faire. Mais la question qui se pose est la suivante : "Comment décider quel(s) fournisseur(s) choisir dans le cadre de la consolidation ?"
Outre des considérations pragmatiques telles que la satisfaction vis-à-vis du fournisseur, l'étendue des contrôles disponibles dans sa plate-forme, l'efficacité et les fonctions de chaque contrôle et bien d'autres encore, un principe organisationnel a émergé pour simplifier et intégrer ce processus - XDR, ou eXtended Detection and Response. Défini par Gartner comme "une plate-forme de détection et de réponse aux incidents de sécurité qui collecte et corrèle automatiquement les données de plusieurs produits de sécurité", XDR permet un principe d'intégration essentiel qui utilise les technologies existantes pour créer une vue et un contrôle unifiés sur des environnements complexes et distribués. Il s'agit d'un principe de consolidation bien plus pertinent qu'une prise de décision guidée par l'achat ("le fournisseur nous a fait une offre formidable pour une suite de produits"). XDR permet à différentes solutions de sécurité de voir, de partager et d'analyser les données, ce qui leur permet de détecter plus efficacement les menaces et de fournir une réponse coordonnée couvrant l'ensemble de la surface d'attaque.
Cela semble être une excellente idée - et c'est le cas - mais c'est beaucoup plus compliqué qu'il n'y paraît à première vue. Certaines solutions XDR proviennent de grands fournisseurs de sécurité qui peuvent intégrer plusieurs produits dans leur portefeuille, et d'autres de petites start-ups qui tentent de créer une couche de normalisation sur des composants de différents fournisseurs. Chaque approche a ses avantages et ses inconvénients. Dans le premier cas (fournisseur d'une solution unique), on devrait s'attendre à une vision unifiée, une expérience commune en matière de politiques, des relations étroites avec les produits et d'autres avantages. Le principal inconvénient est probablement le choix limité au sein du portefeuille de ce fournisseur. En revanche, le choix d'une approche XDR "ouverte" assouplit la limitation à un seul fournisseur, mais il est probable que d'autres domaines, tels que l'intégration, l'analyse ou l'automatisation, soient négligés. D'après notre expérience, l'effort à fournir pour une gestion centralisée sur de nombreux produits (et plusieurs versions de ceux-ci) est considérable. Si l'on multiplie cet effort de manière exponentielle à travers le paysage varié des fournisseurs, sans parler de l'énorme tâche d'analyse et d'automatisation au-delà de la gestion, on obtient un effort énorme pour ces fournisseurs et une multitude de restrictions pour le client final.
FortiXDR - La seule solution XDR pour gérer les cyberincidents de manière autonome, du début à la fin.
Chez Fortinet, nous avons développé des solutions intégrées, multi-produits, qui fonctionnent comme un système unique et cohérent ; d'abord avec l'Advanced Threat Protection Framework et plus récemment avec la Fortinet Security Fabric. La Security Fabric est une plateforme de cybersécurité complète, intégrée et automatisée, soutenue par les services de sécurité FortiGuard Labs, qui protège l'entreprise numérique depuis le point final et l'IoT, en passant par le réseau et le cloud. FortiXDR a été conçu pour étendre la Security Fabric de Fortinet, réduire la complexité, accélérer la détection, automatiser l'investigation des alertes et coordonner les réponses aux cyber-attaques. En tant que partie intégrante de Fortinet Security Fabric, FortiXDR est capable de tirer parti de la structure de données commune, de la télémétrie corrélée, de la visibilité unifiée, de l'intégration native et de l'interopérabilité transparente du portefeuille de solutions Fortinet compatibles avec la Fabric. Sur cette base, des analyses automatisées, des enquêtes sur les incidents et des réponses prédéfinies sont effectuées directement à partir de la boîte. FortiXDR offre ces fonctions avancées pour les trois étapes de la détection et de la résolution d'un incident de sécurité :
- Détection avancée : FortiXDR commence par utiliser les multiples informations de sécurité échangées via la Security Fabric de Fortinet pour les corréler et les analyser. Et comme il peut collecter des informations sur le portefeuille le plus large du secteur, il peut utiliser d'autant plus de télémétries de menaces pour trouver une menace active - en particulier celles qui sont conçues pour éviter la détection.
- Enquête avancée : FortiXDR est la première solution XDR à utiliser l'intelligence artificielle (IA) pour l'enquête sur les menaces détectées - un processus que toute autre solution XDR confie à un analyste de sécurité humain surchargé, ce qui ralentit le processus et rend les systèmes vulnérables aux erreurs humaines. Et compte tenu de la quantité d'alertes générées par la plupart des réseaux, de nombreuses équipes de sécurité n'ont tout simplement pas les ressources nécessaires pour enquêter sur chaque menace potentielle.
Traditionnellement, une fois la détection lancée, un analyste de la sécurité doit examiner l'incident potentiel, décider comment l'étudier et le vérifier, évaluer sa portée et ses composants associés pour déterminer s'il indique une menace plus profonde qui n'est pas facilement identifiable à première vue, puis déterminer la réponse appropriée - qu'il classe l'alerte comme un faux positif ou qu'il déclenche la solution XDR pour réagir.
- Réponse avancée : étant donné que FortiXDR est entièrement intégré dans la Security Fabric, il est nativement capable de mobiliser toutes les ressources disponibles nécessaires à une réponse efficace, automatisée et coordonnée. Et comme ses fonctions de réponse sont plus uniformes que la plupart des formats d'informations de sécurité, les clients peuvent également utiliser des connecteurs pour intégrer même de nombreuses solutions tierces dans leur réponse.
Les principaux avantages de FortiXDR
FortiXDR accélère non seulement la détection, l'investigation et la réponse, mais offre également aux entreprises un argument convaincant pour consolider des produits de sécurité indépendants.
Les premiers utilisateurs montrent que le nombre d'alarmes à examiner est réduit en moyenne de 77 % ou plus. Et comme nous l'avons déjà mentionné, FortiXDR est la seule solution XDR à être complétée par l'IA à travers tous les éléments du processus de détection, d'investigation et de réaction. Cela permet de soulager les équipes de sécurité en exécutant en quelques secondes des tâches complexes qui prendraient 30 minutes ou plus à des experts utilisant des outils spécialisés. Et ce, sans erreur humaine.
Et avec son large portefeuille de contrôles évalués indépendamment de premier ordre, qui peuvent être déployés pour adresser la chaîne de cyber-assassinat de bout en bout, il existe de nombreuses possibilités de consolider de plus en plus de fournisseurs au fil du temps.
Tout cela permet aux entreprises de réduire le délai moyen de détection (MTTD) et le délai moyen de réponse (MTTR), réduisant ainsi l'impact des cyberincidents tout en améliorant l'efficacité des opérations de sécurité et la situation générale en matière de sécurité. Il libère des professionnels de la sécurité expérimentés pour des contributions à plus forte valeur ajoutée à la sécurité de l'entreprise et aide l'entreprise elle-même à continuer à être compétitive de manière efficace, tout en faisant face à la prolifération de la sécurité et des fournisseurs grâce à la consolidation stratégique des solutions et à la détection et à la réponse automatisées aux menaces sur l'ensemble du réseau distribué.